{"id":474,"date":"2026-04-07T09:04:53","date_gmt":"2026-04-07T09:04:53","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/07\/storm-1175-vinculada-a-china-aprovecha-los-dias-cero-para-implementar-rapidamente-medusa-ransomware-cyberdefensa-mx\/"},"modified":"2026-04-07T09:04:53","modified_gmt":"2026-04-07T09:04:53","slug":"storm-1175-vinculada-a-china-aprovecha-los-dias-cero-para-implementar-rapidamente-medusa-ransomware-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/07\/storm-1175-vinculada-a-china-aprovecha-los-dias-cero-para-implementar-rapidamente-medusa-ransomware-cyberdefensa-mx\/","title":{"rendered":"Storm-1175, vinculada a China, aprovecha los d\u00edas cero para implementar r\u00e1pidamente Medusa Ransomware \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Un actor de amenazas con sede en China conocido por implementar el ransomware Medusa ha sido vinculado al uso como arma de una combinaci\u00f3n de vulnerabilidades de d\u00eda cero y d\u00eda N para orquestar ataques de \u00abalta velocidad\u00bb e irrumpir en sistemas susceptibles conectados a Internet.<\/p>\n

\u00abEl alto ritmo operativo del actor de amenazas y su habilidad para identificar activos perimetrales expuestos han demostrado ser exitosos, con intrusiones recientes que han impactado fuertemente a las organizaciones de atenci\u00f3n m\u00e9dica, as\u00ed como a aquellas en los sectores de educaci\u00f3n, servicios profesionales y finanzas en Australia, el Reino Unido y los Estados Unidos\u00bb, dijo el equipo de Microsoft Threat Intelligence. dicho<\/a>.<\/p>\n

Ataques montados por Tormenta-1175<\/strong> Tambi\u00e9n han aprovechado exploits de d\u00eda cero, en algunos casos, antes de que se revelaran p\u00fablicamente, as\u00ed como vulnerabilidades reveladas recientemente para obtener acceso inicial. Algunos incidentes han involucrado al actor de amenazas encadenando m\u00faltiples exploits (por ejemplo, OWASSRF) para una actividad posterior al compromiso.<\/p>\n

Una vez que logra afianzarse, el actor cibercriminal con motivaci\u00f3n financiera act\u00faa r\u00e1pidamente para exfiltrar datos e implementar el ransomware Medusa en un lapso de unos pocos d\u00edas o, en incidentes selectos, dentro de 24 horas.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

Para ayudar en estos esfuerzos, el grupo crea persistencia creando nuevas cuentas de usuario, implementando web shells o software leg\u00edtimo de administraci\u00f3n y monitoreo remoto (RMM) para el movimiento lateral, realizando robo de credenciales e interfiriendo con el funcionamiento normal de las soluciones de seguridad, antes de eliminar el ransomware.<\/p>\n

Desde 2023, Storm-1175 se ha relacionado con la explotaci\u00f3n de m\u00e1s de 16 vulnerabilidades:<\/p>\n

\"\"<\/a><\/div>\n

Se dice que tanto CVE-2025-10035 como CVE-2026-23760 fueron explotados como d\u00edas cero antes de ser divulgados p\u00fablicamente. A finales de 2024, el equipo de hackers ha demostrado habilidad para atacar sistemas Linux, incluida la explotaci\u00f3n de instancias vulnerables de Oracle WebLogic en varias organizaciones. Sin embargo, a\u00fan se desconoce la vulnerabilidad exacta que se utiliz\u00f3 como arma en estos ataques.<\/p>\n

\u00abStorm-1175 rota los exploits r\u00e1pidamente durante el tiempo entre la divulgaci\u00f3n y la disponibilidad o adopci\u00f3n del parche, aprovechando el per\u00edodo en el que muchas organizaciones permanecen desprotegidas\u00bb, dijo Microsoft.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

Algunas de las tacticas notables observadas en estos ataques son las siguientes:<\/p>\n

    \n
  • Uso de binarios que viven fuera de la tierra (LOLBins), incluidos PowerShell y PsExec, junto con Impacket para movimiento lateral.<\/li>\n
  • Confiar en PDQ Deployer tanto para el movimiento lateral como para la entrega de carga \u00fatil, incluido el ransomware Medusa, en toda la red.<\/li>\n
  • Modificar las pol\u00edticas de Firewall de Windows para habilitar el Protocolo de escritorio remoto (RDP) y enviar cargas \u00fatiles maliciosas a otros dispositivos.<\/li>\n
  • Realizaci\u00f3n de volcado de credenciales mediante Impacket y Mimikatz.<\/li>\n
  • Configurar las exclusiones de Microsoft Defender Antivirus para evitar que bloquee las cargas \u00fatiles de ransomware.<\/li>\n
  • Aprovechando Bandizip y Rclone para la recopilaci\u00f3n y exfiltraci\u00f3n de datos, respectivamente.<\/li>\n<\/ul>\n

    La implicaci\u00f3n m\u00e1s importante aqu\u00ed es que las herramientas RMM como AnyDesk, Atera, MeshAgent, ConnectWise ScreenConnect o SimpleHelp se est\u00e1n convirtiendo en infraestructuras de doble uso para operaciones encubiertas, ya que permiten a los actores de amenazas combinar tr\u00e1fico malicioso en plataformas cifradas y confiables y reducir la probabilidad de detecci\u00f3n.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

    Un actor de amenazas con sede en China conocido por implementar el ransomware Medusa ha sido vinculado al uso como arma de una combinaci\u00f3n de vulnerabilidades de d\u00eda cero y d\u00eda N para orquestar ataques de \u00abalta velocidad\u00bb e irrumpir en sistemas susceptibles conectados a Internet. \u00abEl alto ritmo operativo del actor de amenazas y […]<\/p>\n","protected":false},"author":1,"featured_media":422,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[734,146,200,24,717,530,52,1605,36,508,99,1604,488],"class_list":["post-474","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-aprovecha","tag-cero","tag-china","tag-cyberdefensa-mx","tag-dias","tag-implementar","tag-los","tag-medusa","tag-para","tag-ransomware","tag-rapidamente","tag-storm1175","tag-vinculada"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/474","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=474"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/474\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/422"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=474"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=474"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=474"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}