Nach Angaben von Microsoft verkettet Storm-1175 mehrere Exploits, um sich dauerhaft in kompromittierten Systemen einzunisten. Dazu legen die Angreifer neue Benutzerkonten an, installieren Software zur Fernüberwachung und -verwaltung, stehlen Zugangsdaten und schalten Sicherheitssoftware ab, bevor sie die Ransomware ausrollen.

Bereits im Oktober berichtete Microsoft, dass Storm-1175 eine als maximal kritisch eingestufte Schwachstelle in GoAnywhere MFT (CVE-2025-10035) über mehr als eine Woche vor Veröffentlichung des Patches für Medusa-Angriffe ausgenutzt hatte. Als Zero-Day nutzte die Gruppe zudem CVE-2026-23760, eine Schwachstelle zur Umgehung der Authentifizierung im E-Mail- und Kollaborationsserver SmarterMail von SmarterTools.

Microsoft ordnet diese jüngeren Angriffe einer weiterentwickelten Entwicklungsfähigkeit oder einem neuen Zugang zu Ressourcen wie Exploit-Brokern zu. Zugleich weist der Hersteller darauf hin, dass GoAnywhere MFT schon zuvor von Ransomware-Akteuren ins Visier genommen worden sei und die SmarterMail-Lücke Berichten zufolge einer bereits offengelegten Schwachstelle ähnelte. Diese Umstände hätten die spätere Zero-Day-Aktivität begünstigen können; im Schwerpunkt setze Storm-1175 weiterhin auf n-Day-Schwachstellen.

In den jüngsten Kampagnen nutzte die Gruppe nach Microsofts Zählung mehr als 16 Schwachstellen in zehn Softwareprodukten aus. Dazu zählen Microsoft Exchange (CVE-2023-21529), Papercut (CVE-2023-27351 und CVE-2023-27350), Ivanti Connect Secure und Policy Secure (CVE-2023-46805 und CVE-2024-21887) sowie ConnectWise ScreenConnect (CVE-2024-1709 und CVE-2024-1708).

Weiter beobachtete Microsoft die Ausnutzung von Lücken in JetBrains TeamCity (CVE-2024-27198 und CVE-2024-27199), SimpleHelp (CVE-2024-57726, CVE-2024-57727 und CVE-2024-57728), CrushFTP (CVE-2025-31161), SmarterMail (CVE-2025-52691) und BeyondTrust (CVE-2026-1731).

Im März 2025 warnten CISA, das FBI und das Multi-State Information Sharing and Analysis Center (MS-ISAC) in einer gemeinsamen Mitteilung, dass die Angriffe der Medusa-Gruppe mehr als 300 Organisationen der kritischen Infrastruktur in den USA getroffen hätten. Im Juli 2024 hatte Microsoft Storm-1175 zusammen mit drei weiteren Cybercrime-Gruppen mit Angriffen der Ransomware Black Basta und Akira in Verbindung gebracht, die eine Schwachstelle zur Authentifizierungsumgehung in VMware ESXi ausnutzten.