Nach Angaben des Microsoft-Threat-Intelligence-Teams setzt Storm-1175 sowohl Zero-Day-Exploits – teils vor ihrer öffentlichen Bekanntgabe – als auch kürzlich veröffentlichte Schwachstellen ein, um sich initialen Zugang zu verschaffen. In ausgewählten Vorfällen verkettete die Gruppe mehrere Exploits, etwa OWASSRF, für Aktivitäten nach der Kompromittierung.
Hat sich der Akteur einmal festgesetzt, geht er schnell vor: Daten werden exfiltriert und die Medusa-Ransomware binnen weniger Tage, in einzelnen Fällen innerhalb von 24 Stunden, eingesetzt. Um sich dauerhaft im Netzwerk einzunisten, legt die Gruppe neue Benutzerkonten an, installiert Web-Shells oder legitime Software zur Fernüberwachung und -verwaltung (RMM) für die laterale Bewegung, stiehlt Zugangsdaten und stört den normalen Betrieb von Sicherheitslösungen, bevor sie die Ransomware ablegt.
Seit 2023 bringt Microsoft den Akteur mit der Ausnutzung von mehr als 16 Schwachstellen in Verbindung. Sowohl CVE-2025-10035 als auch CVE-2026-23760 sollen als Zero-Days ausgenutzt worden sein, bevor sie öffentlich bekannt wurden. Seit Ende 2024 zeigt die Gruppe zudem eine Vorliebe für Linux-Systeme und nahm unter anderem verwundbare Oracle-WebLogic-Instanzen in mehreren Organisationen ins Visier; welche Schwachstelle dabei genau ausgenutzt wurde, bleibt jedoch unbekannt.
„Storm-1175 wechselt Exploits schnell in der Zeitspanne zwischen Bekanntgabe und der Verfügbarkeit oder dem Einspielen von Patches und nutzt damit den Zeitraum aus, in dem viele Organisationen ungeschützt bleiben", erklärte Microsoft.
Eine weitergehende Beobachtung betrifft RMM-Werkzeuge wie AnyDesk, Atera, MeshAgent, ConnectWise ScreenConnect oder SimpleHelp: Sie entwickeln sich zunehmend zu einer doppelt nutzbaren Infrastruktur für verdeckte Operationen. Angreifer können damit ihren bösartigen Datenverkehr in vertrauenswürdige, verschlüsselte Plattformen einbetten und so die Wahrscheinlichkeit einer Entdeckung verringern.
