Ator ligado à China usa ativos expostos à internet, ferramentas RMM legítimas, roubo de credenciais e alteração de controles de segurança para acelerar intrusões com Medusa em organizações de saúde, educação, serviços profissionais e finanças.
| Componente | Ativos de perímetro expostos à internet, incluindo instâncias vulneráveis de Oracle WebLogic e ambientes Ivanti Connect Secure e Policy Secure citados no contexto da atividade. |
| Vetor | Exploração rápida de vulnerabilidades zero-day e N-day, com encadeamento de múltiplos exploits em alguns incidentes para obter acesso inicial e apoiar ações pós-comprometimento. |
| Impacto | Persistência por novas contas, web shells ou ferramentas RMM, roubo de credenciais, movimentação lateral, exfiltração de dados e implantação do ransomware Medusa em poucos dias ou, em casos selecionados, em até 24 horas. |
| Prioridade | Inventariar serviços expostos, corrigir rapidamente vulnerabilidades recentes, revisar uso de RMM, caçar alterações em firewall e exclusões do Microsoft Defender Antivirus, e validar sinais de exfiltração por ferramentas de arquivamento e sincronização. |
| Versões | O contexto cita CVE-2025-10035, CVE-2026-23760, CVE-2023-46805 e CVE-2024-21887; a vulnerabilidade específica explorada em instâncias Oracle WebLogic não foi identificada. |
| Artefatos | Foram observados uso de web shells, ferramentas RMM como AnyDesk, Atera, MeshAgent, ConnectWise ScreenConnect e SimpleHelp, além de PowerShell, PsExec, Impacket, PDQ Deployer, Bandizip e Rclone. |
Storm-1175 é descrito como um ator baseado na China e associado à implantação do ransomware Medusa em operações de alto ritmo contra sistemas vulneráveis expostos à internet. A atividade combina exploração de falhas ainda não divulgadas publicamente, exploração de vulnerabilidades já conhecidas e aproveitamento do intervalo operacional entre divulgação, disponibilidade de correção e adoção efetiva de patches pelas organizações. O foco observado recai sobre ativos de perímetro, nos quais uma única exposição pode abrir caminho para persistência, movimentação lateral, coleta de dados e entrega do ransomware em uma janela curta.
A campanha afetou organizações dos setores de saúde, educação, serviços profissionais e finanças na Austrália, no Reino Unido e nos Estados Unidos. O padrão técnico mais relevante não é apenas o uso de uma falha isolada, mas a capacidade de alternar rapidamente entre exploits, encadear vulnerabilidades em incidentes específicos e transformar acesso inicial em impacto operacional. Em alguns casos, a sequência entre invasão, exfiltração e implantação do Medusa ocorreu em poucos dias; em incidentes selecionados, esse ciclo foi comprimido para até 24 horas.
Desde 2023, a atividade foi vinculada à exploração de mais de 16 vulnerabilidades. O contexto destaca que CVE-2025-10035 e CVE-2026-23760 teriam sido exploradas como zero-days antes da divulgação pública. Também são citadas CVE-2023-46805 e CVE-2024-21887, associadas a Ivanti Connect Secure e Policy Secure. A partir do fim de 2024, o grupo demonstrou interesse maior por sistemas Linux, incluindo instâncias vulneráveis de Oracle WebLogic em várias organizações, embora a falha exata explorada nesses casos não tenha sido identificada.
O fluxo começa pela identificação de ativos de perímetro expostos. A operação depende de serviços acessíveis pela internet que ainda estejam vulneráveis a falhas recentes ou não corrigidas. Quando uma vulnerabilidade zero-day está disponível ao operador antes da divulgação pública, a organização-alvo não conta com detecção baseada apenas em boletins de correção. Quando a vulnerabilidade é N-day, o fator crítico passa a ser a defasagem entre conhecimento público, aplicação de atualização e verificação real de que o ativo não permaneceu explorável.
Após obter acesso inicial, Storm-1175 busca criar condições para permanência e expansão interna. O contexto descreve criação de novas contas de usuário, implantação de web shells e uso de software legítimo de monitoramento e gerenciamento remoto. Essas ferramentas RMM, incluindo AnyDesk, Atera, MeshAgent, ConnectWise ScreenConnect e SimpleHelp, funcionam como infraestrutura de dupla finalidade: são comuns em administração de ambientes, mas também permitem sessões remotas criptografadas e tráfego que se mistura a fluxos esperados quando não há controle rígido de inventário, aprovação e telemetria.
A movimentação lateral é apoiada por binários e ferramentas já presentes ou aceitas em ambientes corporativos. Foram observados PowerShell, PsExec e Impacket, além de PDQ Deployer para deslocamento lateral e entrega de payloads, incluindo o Medusa, pela rede. O uso desses componentes reduz a dependência de artefatos obviamente maliciosos e desloca a detecção para comportamento: execução remota fora de janelas administrativas, autenticações incomuns, distribuição simultânea de arquivos, criação de serviços e alterações de política em múltiplos hosts.
Antes da etapa final de ransomware, o ator interfere em controles de segurança e prepara o ambiente. O contexto cita alterações em políticas do Windows Firewall para habilitar Remote Desktop Protocol e permitir entrega de payloads a outros dispositivos. Também foram configuradas exclusões no Microsoft Defender Antivirus para impedir bloqueio dos payloads de ransomware. Na fase de coleta e saída de dados, Bandizip foi observado para empacotamento de dados e Rclone para exfiltração. Esses elementos indicam uma cadeia que combina exploração de perímetro, persistência, credenciais, ferramentas administrativas, enfraquecimento defensivo, coleta e extorsão criptográfica.
A superfície principal está nos ativos acessíveis pela internet que executam serviços vulneráveis e recebem correção com atraso. Gateways, appliances de acesso remoto, servidores de aplicação e instâncias expostas de Oracle WebLogic aparecem como pontos de interesse dentro do contexto. Em Ivanti Connect Secure e Policy Secure, as vulnerabilidades CVE-2023-46805 e CVE-2024-21887 são citadas como parte do conjunto explorado. Para WebLogic, a informação disponível confirma exploração de instâncias vulneráveis em várias organizações, mas não permite atribuir uma CVE específica.
Sistemas Windows entram na cadeia após o comprometimento inicial, principalmente quando há credenciais válidas, ferramentas administrativas permissivas e políticas que permitem execução remota. A habilitação de RDP por alteração de firewall amplia a superfície interna, enquanto exclusões indevidas no Microsoft Defender Antivirus reduzem a chance de bloqueio de payloads. Ambientes Linux também exigem atenção porque o ator passou a mirá-los com mais ênfase no fim de 2024, especialmente em servidores expostos que sustentam aplicações corporativas críticas.
A exposição não se limita a hosts vulneráveis. Contas recém-criadas, credenciais roubadas, ferramentas RMM aprovadas sem governança e mecanismos de distribuição de software se tornam parte da superfície operacional da intrusão. Quando PDQ Deployer ou uma plataforma RMM legítima é usada fora do padrão esperado, o controle de segurança precisa distinguir administração autorizada de abuso. Essa distinção depende de inventário, origem da sessão, usuário responsável, horário, destino, tipo de ação e correlação com alterações em defesa, coleta de arquivos e tráfego de saída.
- Ativos de perímetro expostos à internet com falhas zero-day ou N-day exploráveis.
- Instâncias Oracle WebLogic vulneráveis, com falha específica não identificada no material analisado.
- Ambientes Ivanti Connect Secure e Policy Secure relacionados a
CVE-2023-46805eCVE-2024-21887. - Estáções e servidores Windows alcançáveis por RDP, PsExec, PowerShell, Impacket, PDQ Deployer ou ferramentas RMM legítimas.
- Contas locais ou de domínio criadas durante a intrusão e usadas para persistência ou movimentação lateral.
A caça deve começar pelo perímetro. Registros de appliances, servidores de aplicação e gateways devem ser revisados para acessos anômalos, erros de exploração, criação de arquivos inesperados, chamadas fora do padrão e eventos imediatamente anteriores à criação de contas ou web shells. Em ativos com vulnerabilidades recentes, a ausência de patch precisa ser tratada junto com evidências de acesso, porque a campanha explora justamente o intervalo em que o ativo permanece exposto após divulgação ou antes de ampla mitigação.
Nos endpoints Windows, a telemetria deve procurar uma sequência coerente de ações: criação de contas, uso de ferramentas administrativas para execução remota, alteração de políticas do Windows Firewall, habilitação de RDP, criação de exclusões no Microsoft Defender Antivirus, distribuição de arquivos por PDQ Deployer e execução de payloads em múltiplos hosts. O valor da investigação está na correlação temporal. Uma exclusão de antivírus isolada pode ter justificativa administrativa; uma exclusão seguida por cópia lateral, arquivamento com Bandizip e tráfego Rclone muda a prioridade do caso.
Ferramentas RMM exigem linha de base própria. AnyDesk, Atera, MeshAgent, ConnectWise ScreenConnect e SimpleHelp devem ser inventariados por host, proprietário, finalidade e janela de uso. Sessões novas, instalação sem chamado de mudança, conexões a partir de contas incomuns, persistência recém-criada e tráfego criptografado para plataformas não usadas pela organização são sinais de abuso. Como essas ferramentas são legítimas, bloqueio cego pode prejudicar operação; a resposta defensiva precisa separar uso aprovado, sombra administrativa e atividade intrusiva.
Na rede e em proxies, a investigação deve buscar padrões de exfiltração compatíveis com Rclone e coleta prévia. Isso inclui volumes de saída fora do perfil, transferências longas após arquivamento local, comunicação com serviços de armazenamento ou sincronização não aprovados e execução de processos de compressão próximos a diretórios sensíveis. Não há necessidade de publicar ou consumir listas extensas de indicadores para iniciar a resposta: a cadeia fornece sinais comportamentais suficientes para priorizar hosts com perímetro explorado, conta nova, defesa alterada, coleta de dados e execução lateral.
- Criação de contas de usuário sem mudança aprovada, principalmente após eventos em serviços de perímetro.
- Arquivos ou web shells inesperados em servidores expostos, com carimbos de tempo próximos a tentativas de exploração.
- Instalação ou execução de AnyDesk, Atera, MeshAgent, ConnectWise ScreenConnect ou SimpleHelp fora do inventário autorizado.
- Alterações em regras do Windows Firewall que habilitam RDP ou ampliam acesso entre hosts internos.
- Exclusões novas no Microsoft Defender Antivirus antes da entrega de payloads ou movimentação lateral.
- Uso de Bandizip para coleta local e Rclone para transferência de dados em períodos próximos à atividade de ransomware.
A mitigação deve priorizar a redução da janela de exposição. Ativos de perímetro precisam ser inventariados, classificados por criticidade e verificados contra vulnerabilidades recém-divulgadas. Quando houver appliance, gateway ou servidor de aplicação exposto, a correção deve ser acompanhada de validação pós-patch e revisão de comprometimento, porque um sistema corrigido após exploração pode manter web shell, conta criada ou credencial capturada. Para CVE-2025-10035 e CVE-2026-23760, o ponto defensivo central é reconhecer que a exploração ocorreu como zero-day antes da divulgação; logo, a busca retroativa é tão importante quanto a correção.
Em ambientes Ivanti Connect Secure e Policy Secure, a presença de CVE-2023-46805 e CVE-2024-21887 no histórico de exploração exige revisão de logs, integridade e contas associadas. Em Oracle WebLogic, como a vulnerabilidade específica não foi identificada no contexto, a resposta deve se concentrar em exposição, versão implantada, correções disponíveis, artefatos anômalos no servidor, processos inesperados e conexões de saída. A ausência de uma CVE nomeada não reduz o risco operacional quando há evidência de exploração de instâncias vulneráveis.
Ferramentas RMM devem ser tratadas como componentes de alto impacto. A organização deve manter lista de ferramentas permitidas, bloquear instalações não aprovadas, exigir autenticação forte, registrar sessões e alertar quando um agente novo surgir em servidor crítico ou estáção sem justificativa. Para PDQ Deployer, a revisão deve incluir quem iniciou a distribuição, quais destinos receberam payloads, quais arquivos foram empurrados e se a atividade coincide com alterações de firewall, Defender ou contas. O objetivo é impedir que ferramentas administrativas virem canal de entrega do ransomware.
Durante resposta a incidente, a ordem operacional deve conter preservação de evidências, isolamento de hosts com sinais de execução lateral, revogação de contas criadas ou suspeitas, rotação de credenciais expostas, remoção de web shells, restauração de políticas de firewall e reversão de exclusões indevidas no Microsoft Defender Antivirus. A investigação de exfiltração deve revisar arquivos compactados, processos associados a Bandizip, uso de Rclone e tráfego de saída para serviços não aprovados. A validação final precisa confirmar que não há persistência por RMM, web shell, conta residual ou tarefa de distribuição ainda ativa.
- Corrigir e validar ativos de perímetro expostos, priorizando serviços com vulnerabilidades recentes ou citadas na atividade.
- Realizar busca retroativa em sistemas que estavam expostos antes da divulgação pública de
CVE-2025-10035eCVE-2026-23760. - Auditar ferramentas RMM instaladas, remover agentes não autorizados e exigir controle de identidade e registro de sessão.
- Revisar alterações em Windows Firewall, RDP e exclusões do Microsoft Defender Antivirus em hosts com sinais de comprometimento.
- Investigar uso de
PDQ Deployer,PowerShell,PsExeceImpacketcomo sequência de movimentação lateral, sem tratar cada evento isoladamente. - Procurar coleta e saída de dados associadas a Bandizip e Rclone antes de restaurar operação normal ou encerrar o incidente.
0 Comentários