Microsoft zufolge hat Storm-1175 mehr als ein Dutzend bekannter Schwachstellen, sogenannter N-Days, in kurzer Zeit ausgenutzt. Das jüngste Beispiel ist CVE-2026-1731, eine kritische Schwachstelle zur Remotecodeausführung in BeyondTrust Remote Support sowie in älteren Versionen von Privileged Remote Access (PRA). Die Lücke wurde am 6. Februar offengelegt und geriet schnell unter Beschuss; die US-Behörde CISA nahm sie eine Woche später in ihren Katalog bekannter ausgenutzter Schwachstellen (KEV) auf.
Zu den weiteren von der Gruppe ausgenutzten Lücken zählen CVE-2025-31161, eine kritische Schwachstelle zur Umgehung der Authentifizierung in der Dateiübertragungssoftware CrushFTP, sowie CVE-2024-27198, eine ähnliche Lücke in JetBrains TeamCity, die nur wenige Tage nach ihrer Offenlegung im März 2024 massenhaft ausgenutzt wurde. Hinzu kommt CVE-2023-21529, eine von drei Microsoft-Exchange-Schwachstellen aus dem Patch Tuesday im Februar 2023 – Ausnutzungsaktivitäten zu dieser Lücke waren vor dem Blogbeitrag nicht bestätigt.
Daneben bringt Microsoft einige Zero-Day-Schwachstellen mit Storm-1175 in Verbindung. Dazu gehört CVE-2026-23760, eine kritische Authentifizierungsumgehung in SmarterMail, die von mehreren Gruppen ausgenutzt wurde, darunter die mit China verknüpfte Storm-2603. Außerdem nutzte Storm-1175 CVE-2025-10035 aus, eine Schwachstelle der höchsten Schweregradstufe im License Servlet von GoAnywhere Managed File Transfer (MFT). Beide Lücken wurden Microsoft zufolge etwa eine Woche vor ihrer öffentlichen Offenlegung ausgenutzt.
Microsoft schreibt, diese jüngeren Angriffe deuteten auf eine fortentwickelte Fähigkeit oder neuen Zugang zu Ressourcen wie Exploit-Brokern hin. Zugleich sei GoAnywhere MFT schon zuvor Ziel von Ransomware-Angriffen gewesen und die SmarterMail-Lücke einer bereits offengelegten Schwachstelle ähnlich; die Gruppe setze weiterhin vorrangig auf N-Day-Schwachstellen.
Microsoft Threat Intelligence beschreibt weitere Bestandteile der Kampagnen: den Einsatz von Software zur Fernüberwachung und -verwaltung (RMM) für die seitliche Bewegung im Netzwerk, das Werkzeug Impacket zum Abgreifen von Zugangsdaten und das Kommandozeilenwerkzeug Rclone zum Abfließenlassen von Daten. Hervorgehoben wird zudem die Fähigkeit der Gruppe, Sicherheitslösungen zu manipulieren: Die Angreifer verändern Einstellungen von Microsoft Defender Antivirus in der Windows-Registry, sodass Medusa-Payloads ausgeführt werden können.
Da eine solche Manipulation zuvor Zugriff auf hoch privilegierte Konten erfordert, sei die Phase des Abgreifens von Zugangsdaten besonders kritisch. Microsoft empfiehlt, Warnungen zu Diebstahl von Zugangsdaten vorrangig zu behandeln. Sherrod DeGrippo, General Manager für Threat Intelligence bei Microsoft, sagt gegenüber Dark Reading, Patches sollten angesichts der Geschwindigkeit der Gruppe „unmittelbar nach Veröffentlichung priorisiert werden". Die Manipulation verhindere, dass das Schutzprogramm das C-Laufwerk prüft, sodass Medusa-Payloads ohne Warnung liefen.
Zur Eindämmung sollten Organisationen den Manipulationsschutz von Windows Defender Antivirus im gesamten Mandanten aktivieren und die Einstellung „DisableLocalAdminMerge" nutzen, die verhindert, dass Angreifer per lokaler Administratorrechte Antivirus-Ausnahmen setzen. Microsoft rät zudem, ins Internet gerichtete Systeme abzuschotten, öffentlich erreichbare Server hinter eine Web Application Firewall, einen Proxy oder eine DMZ zu stellen und Windows Credential Guard einzusetzen.
