كشف Storm-1175: مجموعة مرتبطة بالصين تنشر برنامج فدية Medusa في أقل من 24 ساعة

شريك فدية يعمل بسرعة الدول

في 6 أبريل 2026، نشر فريق Threat Intelligence في Microsoft مدونة تقنية مفصلة تكشف Storm-1175، وهو فاعل تهديد ذو دوافع مالية متمركز في الصين يعمل كشريك لبرنامج فدية Medusa منذ عام 2023 على الأقل. ما يميز Storm-1175 عن فرق الفدية النموذجية ليس هويتهم فحسب، بل سرعتهم: من اختراق الشبكة الأولي إلى نشر كامل لبرنامج الفدية في أقل من 24 ساعة.

يأتي هذا الكشف بعد أقل من عام من إصدار FBI وCISA ومركز تبادل المعلومات والتحليل متعدد الولايات (MS-ISAC) تحذيراً مشتركاً في مارس 2025 بأن برنامج فدية Medusa أثر بالفعل على أكثر من 300 منظمة بنية تحتية حيوية في الولايات المتحدة. يضيف تحديد Storm-1175 بُعداً دولتياً لما كان بالفعل واحدة من أكثر عمليات الفدية عدوانية في مشهد التهديدات الحالي.

دليل عمل Storm-1175

يعمل Storm-1175 بمنهجية ثابتة وفعالة بشكل مثير للقلق. تستهدف المجموعة الأصول المواجهة للويب خلال النافذة الحرجة بين الكشف عن الثغرة وانتشار تطبيق التصحيحات، وهي فترة تبقى فيها العديد من المنظمات مكشوفة.

منذ 2023، رصدت Microsoft استغلال Storm-1175 لأكثر من 16 ثغرة تمتد عبر 10 منتجات برمجية مختلفة. تُقرأ الأهداف كمقطع عرضي للبنية التحتية لتقنية المعلومات المؤسسية: Microsoft Exchange (CVE-2023-21529)، PaperCut، Ivanti Connect Secure وPolicy Secure، ConnectWise ScreenConnect، JetBrains TeamCity، SimpleHelp، CrushFTP، SmarterMail، BeyondTrust، وGoAnywhere Managed File Transfer.

تُبدّل المجموعة الاستغلالات بسرعة، متبنية سلاسل ثغرات جديدة بمجرد توفرها. هذا الإيقاع التشغيلي يعني أن Storm-1175 لا تعتمد على أي استغلال واحد لفترة طويلة. عندما يُصحح ثغرة ما، ينتقلون إلى التالية، محافظين على خط أنابيب مستمر من نواقل الدخول.

ثغرتا zero-day، إخفاقان حرجان

العنصر الأكثر إثارة للقلق في عمليات Storm-1175 هو استخدامهم لثغرات zero-day، وهي نقاط ضعف يتم استغلالها قبل أن يعلم المورّدون بوجودها.

CVE-2025-10035، ثغرة بأقصى درجة خطورة في منصة GoAnywhere Managed File Transfer، استُغلت من قبل Storm-1175 قبل نحو أسبوع من الكشف العلني عنها وتصحيحها. يُستخدم GoAnywhere MFT على نطاق واسع في قطاعات الصحة والمالية والحكومة لنقل الملفات الآمن، مما يجعل هذه الثغرة خطيرة بشكل خاص للمنظمات التي تتعامل مع بيانات حساسة.

CVE-2026-23760، ثغرة حرجة لتجاوز المصادقة في SmarterMail من SmarterTools، استُغلت بالمثل قبل نحو أسبوع من الكشف العلني. تُعد ثغرات تجاوز المصادقة من أكثر أنواع الثغرات تدميراً لأنها تسمح للمهاجمين بتسجيل الدخول إلى الأنظمة كمستخدمين شرعيين، متجاوزين جميع ضوابط الوصول.

يمثل استخدام ثغرات zero-day من قبل شريك فدية ذي دوافع مالية تصعيداً كبيراً. يتطلب تطوير أو الحصول على ثغرات zero-day موارد كبيرة وتطوراً تقنياً، وهي قدرات مرتبطة تقليدياً بمجموعات التجسس المدعومة من الدولة وليس بمشغلي الفدية الإجراميين. يثير وصول Storm-1175 إلى هذه الاستغلالات تساؤلات حول العلاقة بين جهاز الاستخبارات الصيني ومنظومته الإجرامية السيبرانية.

من الاختراق إلى برنامج الفدية في ساعات

بمجرد حصول Storm-1175 على الوصول الأولي، تتبع المجموعة تسلسل استغلال لاحق منهجي مصمم للسرعة.

إقامة الثبات. ينشئ المهاجمون حسابات مستخدمين جديدة على الأنظمة المخترقة، مما يضمن الحفاظ على الوصول حتى لو صُححت الثغرة الأولية. كما ينشرون واجهات ويب خلفية توفر باباً خلفياً مستمراً عبر خادم الويب.

الحركة الجانبية. يثبّت Storm-1175 برامج مراقبة وإدارة عن بُعد (RMM) شرعية للتنقل عبر الشبكة. باستخدام أدوات متاحة تجارياً بدلاً من برمجيات خبيثة مخصصة، يمتزج نشاط المجموعة مع عمليات تقنية المعلومات المشروعة، مما يجعل الكشف أصعب بكثير.

سرقة بيانات الاعتماد. تحصد المجموعة بيانات الاعتماد من الأنظمة المخترقة، مما يمكنها من رفع الامتيازات والوصول إلى قطاعات شبكة إضافية. تسمح بيانات الاعتماد المسروقة أيضاً بالانتقال إلى أنظمة قد لا تكون عرضة مباشرة للاستغلال الأولي.

التهرب الأمني. قبل نشر برنامج الفدية، يتدخل Storm-1175 بنشاط في حلول الأمان، معطلاً أدوات كشف نقاط النهاية وبرامج مكافحة الفيروسات لضمان تنفيذ حمولة الفدية دون انقطاع.

تسريب البيانات. تستخدم المجموعة Bandizip لجمع الملفات وRclone لتسريب البيانات، مزامنة الملفات المسروقة مع تخزين سحابي يتحكم فيه المهاجمون. تصبح هذه البيانات المُسرّبة وسيلة ضغط لنموذج الابتزاز المزدوج لـ Medusa: ادفع الفدية أو تُنشر البيانات.

نشر برنامج الفدية. أخيراً، يُنشر برنامج فدية Medusa ليشفر الأنظمة عبر شبكة الضحية. في الحالات الأكثر عدوانية، تكتمل التسلسل بأكمله من الوصول الأولي إلى نشر الفدية خلال 24 ساعة.

قطاع الصحة في مرمى النيران

يميل ملف استهداف Storm-1175 بشدة نحو القطاعات التي تخلق فيها حساسية البيانات والإلحاح التشغيلي أقصى ضغط للدفع. منظمات الرعاية الصحية هي الأهداف الرئيسية، تليها التعليم والخدمات المهنية والمالية. جغرافياً، تتركز الهجمات على أستراليا والمملكة المتحدة والولايات المتحدة.

التركيز على الرعاية الصحية مقلق بشكل خاص. لا تستطيع المستشفيات وأنظمة الرعاية الصحية تحمل فترات توقف طويلة؛ السجلات الطبية المشفرة وأنظمة التصوير المعطلة والسجلات الصحية الإلكترونية المقفلة يمكن أن تعرض حياة المرضى للخطر مباشرة. هذا الإلحاح التشغيلي يجعل منظمات الرعاية الصحية أكثر عرضة لدفع الفدية بسرعة، وهو بالضبط السبب في استهداف فاعلي التهديد لها.

أشار تحذير CISA في مارس 2025 إلى أن Medusa أثرت بالفعل على القطاعات الطبية والتعليمية والقانونية والتأمينية والتكنولوجية والتصنيعية. كشفت تحقيقات FBI أيضاً عن أدلة على ابتزاز ثلاثي محتمل: بعد أن دفعت ضحية الفدية، ادعى فاعل آخر في Medusa أن المفاوض سرق الدفعة وطالب بنصف المبلغ مجدداً مقابل “أداة فك التشفير الحقيقية”.

منظومة Ransomware-as-a-Service

يعمل Medusa كمنصة ransomware-as-a-service (RaaS)، تم تحديدها لأول مرة في يونيو 2021. وفق هذا النموذج، يوفر مطورو Medusa مجموعة أدوات الفدية والبنية التحتية وخدمات التفاوض، بينما يتولى الشركاء مثل Storm-1175 الاختراقات والنشر الفعلي.

هذا النموذج التجاري هو ما يجعل الارتباط الصيني لـ Storm-1175 ذا أهمية. تسمح منظومة RaaS لفاعلين بدوافع مختلفة — مالية أو استراتيجية أو استخباراتية — بمشاركة البنية التحتية والتكتيكات. شريك صيني يعمل ضمن منصة فدية عالمية يطمس الخط الفاصل الضبابي أصلاً بين العمليات المدعومة من الدولة والمؤسسات الإجرامية.

يستفيد الترتيب من الطرفين. يحصل Storm-1175 على وصول إلى منصة فدية ناضجة مع بنية تحتية ابتزاز راسخة. ويكسب مشغلو Medusa شريكاً بإمكانية الوصول إلى ثغرات zero-day والانضباط التشغيلي لتنفيذ هجمات بسرعة الدول.

الأولويات الدفاعية

يوفر كشف Microsoft مؤشرات تقنية محددة يجب على فرق الأمن التصرف بناءً عليها فوراً.

تسريع إدارة التصحيحات. يعتمد نموذج Storm-1175 بأكمله على استغلال الفجوة بين الكشف والتصحيح. يجب على المنظمات ضغط دورات التصحيح للأصول المواجهة للإنترنت، خاصة للمنتجات البرمجية العشرة المحددة في تقرير Microsoft.

جرد الأصول المواجهة للويب. تستهدف المجموعة بشكل خاص أنظمة المحيط المكشوفة. تحتاج المنظمات إلى رؤية كاملة لسطح هجومها على الإنترنت، بما في ذلك أنظمة تقنية المعلومات المنسية أو الظلية التي قد تشغل برمجيات ضعيفة.

مراقبة أدوات RMM. يعني استخدام Storm-1175 لأدوات الإدارة عن بُعد المشروعة للحركة الجانبية أن الكشف لا يمكن أن يعتمد فقط على توقيعات البرمجيات الخبيثة. يجب على فرق الأمن مراقبة تثبيتات RMM غير المصرح بها وأنماط الوصول عن بُعد الشاذة.

كشف التسريب. يُنشئ استخدام المجموعة لـ Rclone لسرقة البيانات أنماطاً شبكية قابلة للكشف. يمكن لمراقبة عمليات النقل الحجمية غير المتوقعة إلى خدمات التخزين السحابي، خاصة من خوادم الملفات وأنظمة قواعد البيانات، توفير إنذار مبكر.

نظافة بيانات الاعتماد. يمكن لتطبيق المصادقة متعددة العوامل المقاومة للتصيد ومراقبة إعادة استخدام بيانات الاعتماد ونشر إدارة الوصول المتميز الحد من قدرة Storm-1175 على رفع الامتيازات بعد الوصول الأولي.

سرعة وتطور عمليات Storm-1175 تجعل أمراً واحداً واضحاً: النهج التقليدي في تطبيق التصحيحات عند الراحة لم يعد قابلاً للتطبيق ضد خصوم قادرين على الانتقال من ثغرة zero-day إلى نشر الفدية في أقل من 24 ساعة.

المصادر والقراءات الإضافية

• Storm-1175 Focuses Gaze on Vulnerable Web-Facing Assets in High-Tempo Medusa Ransomware Operations — Microsoft Security Blog
• China-Linked Storm-1175 Exploits Zero-Days to Rapidly Deploy Medusa Ransomware — The Hacker News
• Microsoft Links Medusa Ransomware Affiliate to Zero-Day Attacks — BleepingComputer
• Storm-1175 Deploys Medusa Ransomware at High Velocity — Dark Reading
• #StopRansomware: Medusa Ransomware Advisory — CISA
• Medusa Ransomware Group Using Zero-Days to Launch Attacks Within 24 Hours — The Record