Microsoft atribuyó el lunes un actor de amenazas que rastrea como Storm-1175 a la explotación de una falla de seguridad crítica en el software Fortra GoAnywhere para facilitar la implementación de Medusa ransomware.
La vulnerabilidad es CVE-2025-10035 (Puntuación CVSS: 10.0), un error de deserialización crítico que podría resultar en la inyección de comandos sin autenticación. Se solucionó en la versión 7.8.4 o Sustain Release 7.6.3.
«La vulnerabilidad podría permitir que un actor de amenazas con una firma de respuesta de licencia válidamente falsificada deserialice un objeto arbitrario controlado por el actor, lo que posiblemente lleve a la inyección de comandos y una posible ejecución remota de código (RCE)», dijo el equipo de Microsoft Threat Intelligence. dicho.
Según el gigante tecnológico, Storm-1175 es un grupo cibercriminal conocido por implementar el ransomware Medusa y explotar aplicaciones públicas para el acceso inicial. Se dice que la actividad de explotación relacionada con CVE-2025-10035 se detectó en varias organizaciones el 11 de septiembre de 2025. Vale la pena señalar que watchTowr reveló la semana pasada que había indicios de explotación activa de la falla desde al menos el 10 de septiembre.
Además, la explotación exitosa de CVE-2025-10035 podría permitir a los atacantes realizar descubrimientos de sistemas y usuarios, mantener acceso a largo plazo e implementar herramientas adicionales para movimiento lateral y malware.
La cadena de ataque que sigue al acceso inicial implica eliminar herramientas de administración y monitoreo remoto (RMM), como SimpleHelp y MeshAgent, para mantener la persistencia. También se ha observado que los actores de amenazas crean archivos .jsp dentro de los directorios de GoAnywhere MFT, a menudo al mismo tiempo que las herramientas RMM eliminadas.
En la siguiente fase, se ejecutan comandos para el descubrimiento de usuarios, redes y sistemas, seguidos de aprovechar mstsc.exe (es decir, Conexión a Escritorio remoto de Windows) para movimiento lateral a través de la red.
Las herramientas RMM descargadas se utilizan para comando y control (C2) mediante un túnel de Cloudflare, y Microsoft observa el uso de Rclone en al menos un entorno de víctima para la filtración de datos. En última instancia, el ataque allana el camino para la implementación del ransomware Medusa.
«Las organizaciones que ejecutan GoAnywhere MFT han estado efectivamente bajo un ataque silencioso desde al menos el 11 de septiembre, con poca claridad por parte de Fortra», dijo el CEO y fundador de watchTowr, Benjamin Harris. «La confirmación de Microsoft ahora pinta un panorama bastante desagradable: explotación, atribución y una ventaja de un mes para los atacantes.
«Lo que todavía falta son las respuestas que solo Fortra puede proporcionar. ¿Cómo obtuvieron los actores de amenazas las claves privadas necesarias para explotar esto? ¿Por qué se dejó a las organizaciones en la oscuridad durante tanto tiempo? Los clientes merecen transparencia, no silencio. Esperamos que compartan en un futuro muy cercano para que las organizaciones afectadas o potencialmente afectadas puedan comprender su exposición a una vulnerabilidad que se está explotando activamente en la naturaleza».
Fuente