Microsoft atribuyó el lunes a un actor de amenazas que rastrea como Storm-1175 a la explotación de una falla de seguridad crítica en el software Fortra GoAnywhere para facilitar el despliegue de Medusa ransomware.
La vulnerabilidad es CVE-2025-10035 (puntuación CVSS: 10,0), un error crítico de deserialización que podía provocar la inyección de comandos sin autenticación. Se solucionó en la versión 7.8.4 o en la versión 7.6.3 de Sustain.
«La vulnerabilidad podría permitir a un actor de amenazas con una firma de respuesta de licencia falsificada de forma válida deserializar un objeto arbitrario controlado por un actor, lo que podría provocar la inyección de comandos y la posible ejecución remota de código (RCE)», dijo el equipo de Microsoft Threat Intelligence dijo .
Según el gigante tecnológico, Storm-1175 es un grupo cibercriminal conocido por implementar el ransomware Medusa y explotar las aplicaciones públicas para el acceso inicial desde el 11 de septiembre de 2025. Vale la pena señalar que WatchTowr revelada la semana pasada que había indicios de explotación activa de la falla al menos desde el 10 de septiembre.
Además, la explotación exitosa del CVE-2025-10035 podría permitir a los atacantes detectar sistemas y usuarios, mantener el acceso a largo plazo e implementar herramientas adicionales para el movimiento lateral y el malware.
La cadena de ataque que sigue al acceso inicial implica eliminar las herramientas de supervisión y administración remotas (RMM), como SimpleHelp y MeshaGent, para mantener la persistencia. También se ha observado que los atacantes crean archivos.jsp en los directorios MFT de GoAnywhere, a menudo al mismo tiempo que las herramientas RMM abandonadas.
En la siguiente fase, se ejecutan los comandos para la detección de usuarios, redes y sistemas, y luego se aprovecha mstsc.exe (es decir, Windows Remote Desktop Connection) para el movimiento lateral a través de la red.
Las herramientas RMM descargadas se utilizan para el comando y control (C2) mediante un túnel de Cloudflare, y Microsoft observa el uso de Rclone en al menos un entorno víctima para la exfiltración de datos. En última instancia, el ataque allana el camino para el despliegue del ransomware Medusa.
«Las organizaciones que administran GoAnywhere MFT han sido objeto de ataques silenciosos al menos desde el 11 de septiembre, con poca claridad por parte de Fortra», dijo el CEO y fundador de WatchTowr, Benjamin Harris. «La confirmación de Microsoft presenta ahora un panorama bastante desagradable: explotación, atribución y un mes de ventaja para los atacantes.
«Lo que aún falta son las respuestas que solo Fortra puede ofrecer. ¿Cómo obtuvieron los actores de amenazas las claves privadas necesarias para explotar esto? ¿Por qué se dejó a las organizaciones en la oscuridad durante tanto tiempo? Los clientes merecen transparencia, no silencio. Esperamos que lo compartan en un futuro muy próximo para que las organizaciones afectadas o potencialmente afectadas puedan comprender su exposición a una vulnerabilidad que se está explotando activamente en la naturaleza».