Un grupo de delitos cibernéticos, rastreado como Storm-1175, ha estado explotando activamente una gravedad máxima que va a la vulnerabilidad de MFT en los ataques de ransomware Medusa durante casi un mes.
Rastreado como CVE-2025-10035esta falla de seguridad afecta la herramienta de transferencia segura de transferencia web basada en la web de Fortra, causada por una Deserialización de la debilidad de datos no confiable En el servlet de licencia. Esta vulnerabilidad puede explotarse de forma remota en ataques de baja complejidad que no requieren interacción del usuario.
Los analistas de seguridad de la Fundación Shadowserver ahora están monitoreando Más de 500 instancias de GoanyWhere Mft expuesto en línea, aunque no está claro cuántos ya han sido reparados.
Mientras que Fortra parcheó la vulnerabilidad El 18 de septiembre sin mencionar la explotación activa, los investigadores de seguridad en Watchtowr Labs lo etiquetó como explotado en la naturaleza Una semana después, después de recibir «evidencia creíble» de que CVE-2025-10035 había sido aprovechado como un día cero desde el 10 de septiembre.
Explotado en ataques de ransomware Medusa
Hoy, Microsoft confirmó el informe de WatchToWr Labs, afirmando que un conocido afiliado de ransomware Medusa rastrea como Storm-1175 ha estado explotando esta vulnerabilidad en los ataques desde al menos el 11 de septiembre de 2025.
«Los investigadores del defensor de Microsoft identificaron la actividad de explotación en múltiples organizaciones alineadas con tácticas, técnicas y procedimientos (TTP) atribuidos a Storm-1175». Microsoft dijo.
«Para el acceso inicial, el actor de amenazas explotó la vulnerabilidad de la deserialización del día cero en Goanywhere Mft. Para mantener la persistencia, abusaron de las herramientas de monitoreo y gestión remota (RMM), específicamente simplehelp y Meshagent».
En la siguiente etapa del ataque, el Afiliado de Ransomware lanzó los binarios RMM, utilizó NETSCAN para el reconocimiento de red, los comandos ejecutados para el descubrimiento de usuarios y del sistema, y se movió lateralmente a través de la red comprometida a múltiples sistemas utilizando el cliente de conexión de escritorio remoto de Microsoft (MTSC.EXE).
Durante el ataque, también implementaron rClone en al menos el entorno de una víctima para exfiltrar archivos robados e implementaron cargas útiles de ransomware Medusa para cifrar los archivos de las víctimas.
En marzo, CISA emitió un aviso conjunto con el FBI y el Centro de Análisis de Información y Información de Multi-Estados (MS-ISAC), advirtiendo que la Operación de Ransomware Medusa había afectado a más de 300 organizaciones críticas de infraestructura en todo Estados Unidos.
Junto con otras tres pandillas cibernéticas, el grupo de amenazas Storm-1175 también fue vinculado por Microsoft en julio de 2024 con ataques Explotación de una vulnerabilidad de derivación de autenticación VMware ESXI Eso había llevado al despliegue de Akira y Black Basta Ransomware.
Defender contra los ataques de ransomware Medusa dirigidos a sus servidores MFT de Goanywhere, Microsoft y Fortra aconsejaron a los administradores que actualizaran a las últimas versiones. Fortra también pidió a los clientes que inspeccionen sus archivos de registro para obtener errores de rastreo de pila con la cadena SignedObject.getObject para determinar si las instancias se han visto afectadas.
Unirse al Cumbre de simulación de violación y ataque y experimentar el Futuro de la validación de seguridad. Escuchar a los mejores expertos y ver cómo Basura está transformando la simulación de violación y ataque.
No se pierda el evento que dará forma al futuro de su estrategia de seguridad.
