🧭 Contexte

Source : Microsoft Security Blog — Publication du 6 avril 2026. Analyse de menace produite par Microsoft Threat Intelligence portant sur l’acteur Storm-1175, un groupe cybercriminel à motivation financière opérant des campagnes ransomware Medusa à haute cadence.

🎯 Profil de l’acteur

Storm-1175 est un acteur cybercriminel financièrement motivé, caractérisé par un tempo opérationnel élevé et une forte capacité à identifier des actifs périmètre exposés. Il exploite la fenêtre temporelle entre la divulgation publique d’une vulnérabilité et l’adoption généralisée des correctifs.

⚡ Vecteurs d’accès initial

  • Exploitation de vulnérabilités N-day sur des systèmes web exposés
  • Exploitation de zero-days, parfois jusqu’à une semaine avant la divulgation publique
  • Chaînage de plusieurs exploits pour faciliter l’activité post-compromission

🔗 Chaîne d’attaque

  1. Accès initial via exploitation de vulnérabilités web
  2. Persistance : création de nouveaux comptes utilisateurs
  3. Mouvement latéral : déploiement de logiciels RMM (Remote Monitoring and Management)
  4. Vol de credentials (credential theft)
  5. Neutralisation des solutions de sécurité (tampering)
  6. Exfiltration de données
  7. Déploiement du ransomware Medusa — souvent en quelques jours, parfois en moins de 24 heures

🏥 Secteurs et géographies ciblés

  • Secteurs : santé (fortement impacté), éducation, services professionnels, finance
  • Pays : Australie, Royaume-Uni, États-Unis

📄 Nature de l’article

Il s’agit d’une analyse de menace publiée par Microsoft Threat Intelligence, dont le but principal est de documenter les tactiques, techniques et procédures (TTPs) de Storm-1175 et de caractériser ses campagnes ransomware Medusa pour les équipes de défense et de CTI.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • Storm-1175 (cybercriminal) — orkl.eu

TTP

  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1212 — Exploitation for Credential Access (Credential Access)
  • T1078 — Valid Accounts (Persistence)
  • T1136 — Create Account (Persistence)
  • T1219 — Remote Access Software (Command and Control)
  • T1021 — Remote Services (Lateral Movement)
  • T1003 — OS Credential Dumping (Credential Access)
  • T1562 — Impair Defenses (Defense Evasion)
  • T1041 — Exfiltration Over C2 Channel (Exfiltration)
  • T1486 — Data Encrypted for Impact (Impact)

Malware / Outils

  • Medusa (ransomware)
  • Remote Monitoring and Management software (tool)

🟡 Indice de vérification factuelle : 50/100 (moyenne)

  • ✅ microsoft.com — source reconnue (liste interne) (20pts)
  • ✅ 1570 chars — texte partiel (10pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 10 TTPs MITRE identifiées (15pts)
  • ⬜ date RSS ou approximée (0pts)
  • ✅ acteur(s) identifié(s) : Storm-1175 (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.microsoft.com/en-us/security/blog/2026/04/06/storm-1175-focuses-gaze-on-vulnerable-web-facing-assets-in-high-tempo-medusa-ransomware-operations/