Calipia : le blog

Storm-1175 : Microsoft alerte sur un groupe ransomware qui bat des records de vitesse

Il existe une catégorie d’attaquants particulièrement redoutables : ceux qui ne vous laissent pas le temps de réagir. Storm-1175 fait partie de cette catégorie. Ce groupe cybercriminel à motivation financière, suivi par les équipes de Microsoft Threat Intelligence, a réussi à faire de la vitesse d’exécution son avantage compétitif le plus dangereux. La publication d’un billet de blog détaillé par Microsoft le 6 avril 2026 lève le voile sur les tactiques d’un acteur qui redéfinit le tempo des attaques ransomware.

Un modèle opérationnel fondé sur la fenêtre de vulnérabilité

Storm-1175 est un acteur cybercriminel à motivation financière qui conduit des campagnes de ransomware à haute vélocité en weaponisant des vulnérabilités N-day, ciblant les systèmes exposés sur Internet pendant la fenêtre qui s’ouvre entre la divulgation d’une vulnérabilité et l’adoption généralisée du correctif. Après une exploitation réussie, Storm-1175 passe rapidement de l’accès initial à l’exfiltration de données et au déploiement du ransomware Medusa, souvent en quelques jours et, dans certains cas, en moins de 24 heures. 

Ce modèle opérationnel est d’une efficacité redoutable. Il ne repose pas sur une sophistication technique extraordinaire mais sur une discipline d’exécution qui dépasse systématiquement la capacité de réponse des équipes de sécurité. Les shifts rapides entre vulnérabilités et l’usage d’exploits chaînés suggèrent que les attaquants tirent parti du fait que les entreprises manquent d’une vue actualisée de leur exposition externe. 

Nous reviendrons sur ces nouvelles menaces lors du prochain Briefing Calipia en juin.

Les secteurs et géographies ciblés

Le groupe cible principalement les systèmes périmètriques exposés à Internet. Ses campagnes récentes ont lourdement impacté des organisations du secteur de la santé, de l’éducation, des services professionnels et de la finance en Australie, au Royaume-Uni et aux États-Unis, la France n’est pas explicitement citée, mais la méfiance est de rigueur… La liste des victimes identifiées dessine le profil classique des cibles ransomware : secteurs critiques, tolérance à l’interruption faible, pression à payer forte.

Un arsenal de vulnérabilités impressionnant

Depuis 2023, Storm-1175 a exploité plus de 16 vulnérabilités différentes, notamment dans des logiciels comme PaperCut (CVE-2023-27351) et JetBrains TeamCity (CVE-2024-27198). La liste inclut également des produits très présents dans les environnements d’entreprise : Microsoft Exchange, Fortra GoAnywhere MFT, ConnectWise ScreenConnect, SimpleHelp, BeyondTrust Remote Support, et SAP NetWeaver.

Le cas SAP NetWeaver est particulièrement illustratif de la mécanique du groupe. La faille CVE-2025-31324 a été annoncée le 24 avril 2025, et dès le lendemain, le groupe l’utilisait déjà pour lancer des opérations Medusa. Vingt-quatre heures entre la divulgation publique et l’exploitation active : c’est le nouveau référentiel de risque auquel les équipes sécurité doivent se préparer.

L’escalade vers les zero-days

Ce qui rend Storm-1175 encore plus préoccupant en 2026, c’est sa montée en compétence vers l’exploitation de vulnérabilités zero-day. Storm-1175 a également armé CVE-2025-10035, une faille de gravité maximale dans le License Servlet de GoAnywhere Managed File Transfer de Fortra. Microsoft note que les deux CVE ont été exploités environ une semaine avant leur divulgation publique. 

L’exemple le plus récent est CVE-2026-23760, une vulnérabilité critique de contournement d’authentification dans SmarterMail qui a également été exploitée par d’autres groupes de menace, dont le groupe lié à la Chine, Storm-2603. L’accès à des ressources comme des courtiers d’exploits semble avoir facilité ce glissement vers le zero-day, même si le groupe s’appuie encore principalement sur les N-days.

La chaîne d’attaque détaillée

Microsoft documente avec précision le déroulé type d’une intrusion Storm-1175. Après l’accès initial via une application web vulnérable, le groupe établit sa persistance par des web shells ou des outils de gestion à distance légitimes. Pour l’accès aux identifiants, le groupe utilise Impacket et Mimikatz pour dumper LSASS, active le cache WDigest via le registre, et abuse d’outils comme le Gestionnaire des tâches pour obtenir des mots de passe. Avec des identifiants élevés, il pivote vers les contrôleurs de domaine, récupérant NTDS.dit et les ruches SAM pour permettre le cassage de mots de passe hors ligne et une compromission plus large du domaine. 

La neutralisation des défenses précède systématiquement le déploiement du ransomware. Storm-1175 modifie les paramètres de Microsoft Defender Antivirus stockés dans le registre pour entraver le logiciel antivirus et l’empêcher de bloquer les charges Medusa. Pour accomplir cela, un attaquant doit avoir accès à des comptes hautement privilégiés capables de modifier le registre directement. L’exfiltration de données utilise Rclone pour transférer les volumes vers un stockage cloud contrôlé par les attaquants, alimentant le modèle de double extorsion de Medusa : les données sont chiffrées ET menacées de publication publique si la rançon n’est pas payée.

Ce que les DSI et RSSI doivent retenir

Ce qui est observé ici, c’est la mort du paradigme traditionnel du « dwell time ». Ce n’est plus une question d’attaquants qui s’installent discrètement dans le réseau. C’est une question de vitesse et d’exécution disciplinée. Storm-1175 opère comme une chaîne de production bien huilée : accès initial, escalade, mouvement latéral, exfiltration, et déploiement du ransomware, tout cela compressé en une journée. La plupart des entreprises ne sont tout simplement pas construites pour ce rythme. 

Les recommandations de Microsoft sont sans ambiguïté. Les équipes doivent prioritairement corréler les alertes de vol d’identifiants avec les signaux ransomware, activer Windows Credential Guard et les règles de réduction de la surface d’attaque, et s’assurer que la tamper protection est activée à l’échelle du tenant pour bloquer les modifications non autorisées de l’antivirus. Les organisations sont également invitées à patcher les systèmes exposés à Internet sans délai, en particulier dans les 72 heures suivant l’inscription d’une vulnérabilité dans le catalogue CISA KEV. 

Pour les architectes sécurité, la leçon structurelle est peut-être la plus importante : étant donné la vitesse opérationnelle de Storm-1175, les correctifs devraient être priorisés immédiatement dès leur publication,  selon les propres mots de Sherrod DeGrippo, GM du renseignement sur les menaces chez Microsoft (photo ci contre). Une gestion de surface d’attaque externe outillée, capable de cartographier en temps réel les actifs exposés et leur niveau de patch, n’est plus une option mais un prérequis.