Los ataques ransomware Medusa día cero se han intensificado en los últimos meses, con el grupo Storm-1175 explotando activamente vulnerabilidades críticas incluso antes de que se publiquen los parches. Según el último análisis de Microsoft, este colectivo con base en China y motivación financiera ha perfeccionado una cadena de ataque de alta velocidad que compromete redes en cuestión de horas, priorizando objetivos en sanidad, educación, servicios profesionales y finanzas en Australia, Reino Unido y Estados Unidos.
Puntos clave
- El grupo Storm-1175 despliega ransomware Medusa explotando vulnerabilidades de día cero y n-día con una velocidad operativa excepcional.
- Microsoft ha observado que pueden moverse desde el acceso inicial hasta la exfiltración de datos y el despliegue del ransomware en menos de 24 horas.
- Los sectores más afectados incluyen organizaciones sanitarias, educativas, de servicios profesionales y financieras.
- Storm-1175 ha explotado más de 16 vulnerabilidades en 10 productos de software distintos, incluyendo fallos críticos en Exchange, Ivanti y ConnectWise.
- En marzo de 2025, CISA, el FBI y el MS-ISAC alertaron de que los ataques de Medusa habían impactado a más de 300 organizaciones de infraestructura crítica en EE.UU.
El modus operandi de Storm-1175 en los ataques ransomware Medusa día cero
🔍 Anticipa las amenazas antes de que lleguen a tu organización. En Iberia Intelligence aplicamos ciberinteligencia avanzada: seguimiento de actores de amenaza, análisis de TTPs, alertas tempranas y vigilancia en fuentes abiertas y cerradas adaptada a tu sector y geografía.
Storm-1175 destaca por su capacidad para identificar y explotar activos perimetrales expuestos con una cadencia operativa muy elevada. Tal y como ha documentado Microsoft, este grupo no duda en utilizar exploits de día cero —vulnerabilidades explotadas antes de que el fabricante lance un parche— para obtener acceso inicial. Su transición desde ese punto de entrada hasta la exfiltración masiva de datos y el despliegue final del ransomware Medusa puede completarse en cuestión de días, y en algunos casos, en apenas 24 horas.
Esta rapidez les confiere una ventaja táctica significativa sobre los equipos de defensa. Una vez dentro de la red, los operadores de Storm-1175 encadenan múltiples exploits y técnicas para mantener la persistencia. Su playbook incluye la creación de nuevas cuentas de usuario, el despliegue de software de monitorización y gestión remota (RMM), el robo de credenciales y la desactivación deliberada de soluciones de seguridad. Solo tras asegurar su posición proceden a ejecutar la carga útil del ransomware.
Explotación de vulnerabilidades conocidas y zero-days
La evolución más preocupante de Storm-1175 es su creciente capacidad para integrar exploits de día cero en sus campañas. Un ejemplo destacado es la explotación de CVE-2026-23760, una vulnerabilidad de omisión de autenticación en el servidor de correo SmarterMail de SmarterTools. El grupo la utilizó como un día cero, explotándola antes de que se emitiera una corrección. Anteriormente, en octubre de 2025, ya habían demostrado esta capacidad con CVE-2025-10035, un fallo de máxima severidad en GoAnywhere MFT que usaron durante más de una semana antes de su parche.
«La alta velocidad operativa y la pericia de Storm-1175 para identificar activos perimetrales expuestos han demostrado ser exitosas, con intrusiones recientes impactando fuertemente a organizaciones sanitarias», señala Microsoft en su análisis.
Esta agilidad sugiere, según apuntan los analistas, un desarrollo interno de capacidades de explotación o, alternativamente, un nuevo acceso a brokers de exploits en el mercado clandestino. No obstante, Microsoft matiza que el grupo aún se apoya principalmente en vulnerabilidades n-día (aquellas ya parcheadas pero no aplicadas), lo que subraya la importancia crítica de una gestión de parches rigurosa y urgente.
Sectores críticos en el punto de mira: sanidad, educación y finanzas
La selección de objetivos por parte de Storm-1175 no es aleatoria. Los ataques ransomware Medusa día cero han tenido un impacto desproporcionado en sectores con alta sensibilidad operativa y valor de los datos. Las organizaciones sanitarias son un blanco primordial, probablemente por la presión adicional que sufren para restablecer servicios rápidamente, lo que incrementa la probabilidad de pago del rescate.
Según fuentes del sector de la ciberinteligencia, los ataques recientes han paralizado operaciones en hospitales y centros de investigación en los países afectados. El sector educativo, con sus infraestructuras a menudo heterogéneas y presupuestos limitados para seguridad, también ha sufrido brechas significativas. Completan la lista las firmas de servicios profesionales y, de manera destacada, entidades financieras, donde el grupo busca acceder a datos de clientes y sistemas de transacciones.
Tácticas, técnicas y procedimientos (TTPs) observados
Analizando los indicadores de compromiso (IOCs) y los comportamientos, Microsoft ha podido cartografiar los TTPs característicos de Storm-1175. Tras la explotación inicial, suelen ejecutar scripts de PowerShell maliciosos para la enumeración de la red y el movimiento lateral. Utilizan herramientas legítimas como AnyDesk o ScreenConnect para el acceso remoto, una técnica de «living-off-the-land» que dificulta la detección.
Uno de sus sellos distintivos es el minado agresivo de credenciales, utilizando dumpers como Mimikatz para extraer hashes de contraseñas de la memoria del sistema. Posteriormente, desactivan servicios de seguridad como Windows Defender o soluciones EDR mediante la modificación de registros o el uso de drivers vulnerables. Este proceso metódico les permite operar con impunidad dentro del entorno hasta el momento del cifrado.
Catálogo de vulnerabilidades explotadas por Storm-1175
El grupo mantiene un amplio arsenal de exploits que actualiza constantemente. En campañas recientes, han aprovechado fallos en más de 16 vulnerabilidades repartidas en 10 productos de software diferentes. Esta diversificación les permite adaptarse a la superficie de ataque de cada víctima. Entre las más críticas destacan:
- Microsoft Exchange (CVE-2023-21529)
- PaperCut NG/MF (CVE-2023-27351, CVE-2023-27350)
- Ivanti Connect Secure & Policy Secure (CVE-2023-46805, CVE-2024-21887)
- ConnectWise ScreenConnect (CVE-2024-1709, CVE-2024-1708)
- JetBrains TeamCity (CVE-2024-27198, CVE-2024-27199)
- SimpleHelp (CVE-2024-57726, CVE-2024-57727, CVE-2024-57728)
- CrushFTP (CVE‑2025‑31161)
- SmarterMail (CVE-2025-52691, CVE-2026-23760)
- BeyondTrust (CVE-2026-1731)
Este listado evidencia una clara preferencia por software de gestión remota, servidores de correo y soluciones de acceso seguro perimetral. Son productos ampliamente desplegados en entornos corporativos y que, si no se parchean con diligencia, ofrecen una puerta de entrada ideal.
Recomendaciones de mitigación y respuesta inmediata
Frente a la amenaza de los ataques ransomware Medusa día cero, las organizaciones, especialmente aquellas en sectores críticos, deben adoptar una postura proactiva. La primera línea de defensa es la aplicación inmediata de parches para todas las vulnerabilidades mencionadas, priorizando aquellas explotadas activamente. Se recomienda implementar una segmentación de red robusta para limitar el movimiento lateral y desplegar sistemas de detección de intrusos (IDS) que monitoricen el tráfico saliente inusual para identificar exfiltración de datos.
Desde el punto de vista de la ciberinteligencia, es crucial monitorizar los foros clandestinos y las fuentes de threat intelligence para obtener indicadores tempranos de nuevos exploits que Storm-1175 pueda estar adquiriendo o desarrollando. Internamente, los equipos de seguridad deben realizar ejercicios de «hunting» activo buscando los TTPs descritos, como el uso de herramientas RMM no autorizadas o intentos de deshabilitar servicios de seguridad.
Perspectiva de ciberinteligencia: evolución y colaboración con otros grupos
Storm-1175 no opera en un vacío. En julio de 2024, Microsoft ya lo vinculó, junto a otros tres grupos de cibercrimen, a ataques de ransomware Black Basta y Akira que explotaban una vulnerabilidad de omisión de autenticación en VMware ESXi. Esta conexión sugiere una posible colaboración o solapamiento de recursos entre distintos colectivos, un fenómeno cada vez más común en el ecosistema del cibercrimen como servicio (RaaS).
La advertencia conjunta emitida en marzo de 2025 por CISA, el FBI y el MS-ISAC, que alertaba de más de 300 organizaciones de infraestructura crítica estadounidenses afectadas por Medusa, subraya la dimensión transnacional de esta amenaza. Para los analistas, la trayectoria de Storm-1175 apunta a una profesionalización creciente. Su habilidad para integrar rápidamente exploits de día cero indica una sofisticación técnica que trasciende la mera compra de kits en foros, posicionándolos como un adversario persistente y de alto nivel.
A día de hoy, en 2026, los ataques ransomware Medusa día cero representan uno de los vectores de amenaza más dinámicos y dañinos para las infraestructuras esenciales. Su éxito se basa en explotar la ventana de vulnerabilidad que existe entre la divulgación de un fallo y la aplicación generalizada del parche, un intervalo que Storm-1175 ha aprendido a maximizar. La defensa requiere no solo una higiene de seguridad impecable, sino también una capacidad de inteligencia proactiva para anticipar su próximo movimiento.
Recursos y fuentes oficiales:
Convierte la inteligencia de amenazas en ventaja estratégica
Nuestro equipo en Iberia Intelligence ofrece servicios de Ciberinteligencia para empresas e instituciones: monitorización de actores, perfiles de adversarios, alertas personalizadas e informes ejecutivos accionables.