Storm-1175 démasqué : un groupe lié à la Chine déploie le rançongiciel Medusa en moins de 24 heures

Publié le avril 8, 2026 · par ALGERIATECH Editorial

⚡ Points Clés

Microsoft a lié le groupe chinois Storm-1175 à des campagnes de rançongiciel Medusa exploitant plus de 16 vulnérabilités dans 10 produits logiciels, avec un déploiement complet en moins de 24 heures. Deux zero-days dans GoAnywhere MFT et SmarterMail ont été armés avant l’existence de correctifs. La santé, l’éducation et la finance sont les cibles principales.

En résumé : Auditez immédiatement toutes les instances exposées sur internet des 10 produits logiciels nommés et comprimez les cycles de correctifs à quelques jours, pas quelques semaines.

Lire l’analyse complète ↓

🧭 Radar de Décision

Pertinence pour l’Algérie
Élevée
▾

La numérisation du secteur de la santé en Algérie et l’expansion des services gouvernementaux exposés sur internet utilisent bon nombre des mêmes produits logiciels ciblés par Storm-1175 (Exchange, Ivanti, ConnectWise). Les cycles de correctifs dans les organisations algériennes sont généralement plus lents que la fenêtre d’exploitation de 24 heures.

Infrastructure prête ?
Non
▾

La plupart des organisations algériennes manquent d’équipes SOC dédiées, de gestion automatisée des correctifs et de segmentation réseau nécessaires pour se défendre contre cette vitesse d’attaque. CERT.dz existe mais la couverture est limitée.

Compétences disponibles ?
Limitées
▾

L’Algérie dispose d’une main-d’œuvre en cybersécurité petite mais croissante. Cependant, les capacités de réponse aux incidents pour les rançongiciels à vitesse étatique sont pratiquement inexistantes en dehors d’une poignée de grandes institutions.

Calendrier d’action
Immédiat
▾

Les organisations utilisant l’un des 10 produits logiciels ciblés devraient vérifier l’état des correctifs aujourd’hui. La fenêtre de vulnérabilité exploitée par Storm-1175 se mesure en jours, pas en mois.

Parties prenantes clés
CERT.dz, directeurs informatiques du ministère de la Santé, RSSI des banques algériennes, administrateurs IT universitaires, équipes de sécurité de Sonatrach et Sonelgaz, fournisseurs de services managés.

Type de décision
Tactique
▾

Cela nécessite une action défensive immédiate : auditer les actifs exposés sur le web, accélérer les correctifs pour les produits nommés, surveiller les abus d’outils RMM et établir la détection d’exfiltration pour les schémas de trafic de type Rclone.

En bref : Le mode opératoire de Storm-1175 exploitant l’écart entre le correctif et le déploiement est particulièrement dangereux pour les organisations algériennes, où les cycles de correctifs s’étendent souvent sur des semaines ou des mois. Toute institution utilisant Exchange, Ivanti, ConnectWise ou GoAnywhere MFT devrait traiter cela comme une priorité immédiate et comprimer les délais de correction à quelques jours, pas à quelques semaines.

Un affilié de rançongiciel opérant à la vitesse d’un État-nation

Le 6 avril 2026, l’équipe Threat Intelligence de Microsoft a publié un blog technique détaillé exposant Storm-1175, un acteur de menace à motivation financière basé en Chine qui opère comme affilié du rançongiciel Medusa depuis au moins 2023. Ce qui distingue Storm-1175 des équipes de rançongiciel classiques n’est pas seulement leur identité, mais leur rapidité : de la compromission initiale du réseau au déploiement complet du rançongiciel en aussi peu que 24 heures.

Cette divulgation intervient moins d’un an après que le FBI, la CISA et le Multi-State Information Sharing and Analysis Center (MS-ISAC) ont émis un avis conjoint en mars 2025 avertissant que le rançongiciel Medusa avait déjà touché plus de 300 organisations d’infrastructures critiques aux États-Unis. L’identification de Storm-1175 ajoute une dimension étatique à ce qui était déjà l’une des opérations de rançongiciel les plus agressives du paysage actuel des menaces.

Le mode opératoire de Storm-1175

Storm-1175 opère avec une méthodologie constante et alarmante en termes d’efficacité. Le groupe cible les actifs exposés sur le web pendant la fenêtre critique entre la divulgation d’une vulnérabilité et l’adoption généralisée des correctifs, une période pendant laquelle de nombreuses organisations restent exposées.

Depuis 2023, Microsoft a observé Storm-1175 exploiter plus de 16 vulnérabilités couvrant 10 produits logiciels différents. Les cibles se lisent comme un panorama de l’infrastructure IT d’entreprise : Microsoft Exchange (CVE-2023-21529), PaperCut, Ivanti Connect Secure et Policy Secure, ConnectWise ScreenConnect, JetBrains TeamCity, SimpleHelp, CrushFTP, SmarterMail, BeyondTrust et GoAnywhere Managed File Transfer.

Le groupe fait tourner les exploits rapidement, adoptant de nouvelles chaînes de vulnérabilités aussi vite qu’elles deviennent disponibles. Ce tempo opérationnel signifie que Storm-1175 ne dépend d’aucun exploit unique pendant longtemps. Quand une vulnérabilité est corrigée, ils passent à la suivante, maintenant un pipeline constant de vecteurs d’entrée.

Deux zero-days, deux défaillances critiques

L’élément le plus alarmant des opérations de Storm-1175 est l’utilisation de failles zero-day, des vulnérabilités exploitées avant même que les éditeurs ne sachent qu’elles existent.

CVE-2025-10035, une faille de sévérité maximale dans la plateforme GoAnywhere Managed File Transfer, a été exploitée par Storm-1175 environ une semaine avant sa divulgation publique et son correctif. GoAnywhere MFT est largement utilisé dans la santé, la finance et le secteur public pour les transferts de fichiers sécurisés, rendant cette faille zero-day particulièrement dangereuse pour les organisations manipulant des données sensibles.

CVE-2026-23760, une vulnérabilité critique de contournement d’authentification dans SmarterMail de SmarterTools, a été similairement exploitée environ une semaine avant la divulgation publique. Les failles de contournement d’authentification comptent parmi les types de vulnérabilités les plus dévastateurs car elles permettent aux attaquants de se connecter aux systèmes en tant qu’utilisateurs légitimes, contournant tous les contrôles d’accès.

L’utilisation de failles zero-day par un affilié de rançongiciel à motivation financière représente une escalade significative. Le développement ou l’acquisition de zero-days nécessite des ressources substantielles et une sophistication technique, des capacités traditionnellement associées aux groupes d’espionnage étatiques plutôt qu’aux opérateurs criminels de rançongiciel. L’accès de Storm-1175 à ces exploits soulève des questions sur la relation entre l’appareil de renseignement chinois et son écosystème cybercriminel.

De la brèche au rançongiciel en quelques heures

Une fois que Storm-1175 obtient l’accès initial, le groupe suit une séquence de post-exploitation méthodique conçue pour la vitesse.

Établissement de la persistance. Les attaquants créent de nouveaux comptes utilisateurs sur les systèmes compromis, s’assurant de maintenir l’accès même si la vulnérabilité initiale est corrigée. Ils déploient également des shells web, fournissant une porte dérobée persistante via le serveur web.

Mouvement latéral. Storm-1175 installe des logiciels légitimes de surveillance et gestion à distance (RMM) pour se déplacer à travers le réseau. En utilisant des outils disponibles dans le commerce plutôt que des maliciels personnalisés, l’activité du groupe se fond dans les opérations IT légitimes, rendant la détection significativement plus difficile.

Vol d’identifiants. Le groupe récolte des identifiants sur les systèmes compromis, leur permettant d’élever les privilèges et d’accéder à des segments réseau supplémentaires. Les identifiants volés permettent également de se déplacer vers des systèmes qui ne sont pas directement vulnérables à l’exploit initial.

Évasion de sécurité. Avant de déployer le rançongiciel, Storm-1175 interfère activement avec les solutions de sécurité, désactivant les outils de détection des terminaux et les logiciels antivirus pour garantir que la charge utile du rançongiciel s’exécute sans interruption.

Exfiltration de données. Le groupe utilise Bandizip pour la collecte de fichiers et Rclone pour l’exfiltration de données, synchronisant les fichiers volés vers un stockage cloud contrôlé par les attaquants. Ces données exfiltrées deviennent un levier pour le modèle de double extorsion de Medusa : payez la rançon ou les données seront publiées.

Déploiement du rançongiciel. Enfin, le rançongiciel Medusa est déployé, chiffrant les systèmes à travers le réseau de la victime. Dans les cas les plus agressifs, la séquence complète de l’accès initial au déploiement du rançongiciel s’achève en moins de 24 heures.

La santé dans le viseur

Le profil de ciblage de Storm-1175 est fortement orienté vers les secteurs où la sensibilité des données et l’urgence opérationnelle créent une pression maximale pour payer. Les organisations de santé sont les cibles principales, suivies par l’éducation, les services professionnels et la finance. Géographiquement, les attaques se concentrent sur l’Australie, le Royaume-Uni et les États-Unis.

Le ciblage du secteur de la santé est particulièrement préoccupant. Les hôpitaux et systèmes de santé ne peuvent pas se permettre des temps d’arrêt prolongés ; des dossiers médicaux chiffrés, des systèmes d’imagerie désactivés et des dossiers de santé électroniques verrouillés peuvent directement mettre en danger la vie des patients. Cette urgence opérationnelle rend les organisations de santé plus susceptibles de payer rapidement les rançons, ce qui est précisément la raison pour laquelle les acteurs malveillants les ciblent.

L’avis de la CISA de mars 2025 notait que Medusa avait déjà touché les secteurs médical, éducatif, juridique, assuranciel, technologique et manufacturier. Les enquêtes du FBI ont également révélé des preuves de potentielle triple extorsion : après qu’une victime a payé la rançon, un autre acteur de Medusa a affirmé que le négociateur avait volé le paiement et a demandé la moitié du montant à nouveau pour le « vrai déchiffreur ».

L’écosystème Ransomware-as-a-Service

Medusa fonctionne comme une plateforme de ransomware-as-a-service (RaaS), identifiée pour la première fois en juin 2021. Selon ce modèle, les développeurs de Medusa fournissent la boîte à outils du rançongiciel, l’infrastructure et les services de négociation, tandis que les affiliés comme Storm-1175 gèrent les intrusions et déploiements réels.

Ce modèle économique est ce qui rend la connexion chinoise de Storm-1175 significative. L’écosystème RaaS permet à des acteurs aux motivations différentes — financières, stratégiques ou de renseignement — de partager infrastructure et tactiques. Un affilié chinois opérant au sein d’une plateforme de rançongiciel mondiale brouille la frontière déjà floue entre les opérations étatiques et les entreprises criminelles.

L’arrangement bénéficie aux deux parties. Storm-1175 accède à une plateforme de rançongiciel mature avec une infrastructure d’extorsion établie. Les opérateurs de Medusa gagnent un affilié avec accès à des failles zero-day et la discipline opérationnelle pour exécuter des attaques à la vitesse d’un État-nation.

Priorités défensives

La divulgation de Microsoft fournit des indicateurs techniques spécifiques sur lesquels les équipes de sécurité devraient agir immédiatement.

Accélération de la gestion des correctifs. L’ensemble du modèle de Storm-1175 dépend de l’exploitation de l’écart entre la divulgation et l’application des correctifs. Les organisations doivent comprimer leurs cycles de correctifs pour les actifs exposés sur internet, en particulier pour les 10 produits logiciels identifiés dans le rapport de Microsoft.

Inventaire des actifs exposés sur le web. Le groupe cible spécifiquement les systèmes de périmètre exposés. Les organisations ont besoin d’une visibilité complète sur leur surface d’attaque internet, y compris les systèmes informatiques oubliés ou fantômes qui pourraient exécuter des logiciels vulnérables.

Surveillance des outils RMM. L’utilisation par Storm-1175 d’outils de gestion à distance légitimes pour le mouvement latéral signifie que la détection ne peut pas reposer uniquement sur les signatures de maliciels. Les équipes de sécurité doivent surveiller les installations RMM non autorisées et les schémas d’accès à distance anormaux.

Détection d’exfiltration. L’utilisation par le groupe de Rclone pour le vol de données crée des schémas réseau détectables. La surveillance des transferts volumineux inattendus vers des services de stockage cloud, en particulier depuis les serveurs de fichiers et les systèmes de bases de données, peut fournir une alerte précoce.

Hygiène des identifiants. La mise en œuvre d’une authentification multifacteur résistante au hameçonnage, la surveillance de la réutilisation d’identifiants et le déploiement de la gestion des accès privilégiés peuvent limiter la capacité de Storm-1175 à élever les privilèges après l’accès initial.

La vitesse et la sophistication des opérations de Storm-1175 rendent une chose claire : l’approche traditionnelle de correction quand c’est pratique n’est plus viable face à des adversaires capables de passer d’un zero-day au déploiement de rançongiciel en moins de 24 heures.

Suivez AlgeriaTech sur LinkedIn pour des analyses tech professionnelles Suivre sur LinkedIn

Suivez @AlgeriaTechNews sur X pour des analyses tech quotidiennes Suivre sur X

Questions Fréquemment Posées

Qu’est-ce qui distingue Storm-1175 des groupes de rançongiciel classiques ?

Storm-1175 combine la vitesse et la sophistication technique d’un acteur étatique avec la motivation financière d’une opération criminelle de rançongiciel. Le groupe exploite des vulnérabilités zero-day (des failles exploitées avant que les correctifs n’existent), fait tourner plus de 16 exploits sur 10 produits et peut passer de la brèche initiale au déploiement complet du rançongiciel en moins de 24 heures. La plupart des groupes de rançongiciel prennent des jours ou des semaines pour achever ce cycle.

Comment fonctionne le modèle ransomware-as-a-service de Medusa ?

Medusa fonctionne comme une plateforme où les développeurs construisent et maintiennent la boîte à outils du rançongiciel, l’infrastructure d’extorsion et les services de négociation, tandis que les affiliés comme Storm-1175 gèrent les intrusions réelles. Les affiliés accèdent à une technologie de rançongiciel éprouvée ; les opérateurs de la plateforme gagnent des affiliés avec un accès spécialisé et des capacités avancées. Cette division du travail permet à des groupes aux motivations et compétences différentes de collaborer efficacement.

Quelles mesures immédiates les organisations devraient-elles prendre pour se défendre contre Storm-1175 ?

Trois priorités : Premièrement, auditer et corriger toutes les instances exposées sur internet des 10 produits logiciels nommés dans le rapport de Microsoft (Exchange, PaperCut, Ivanti, ConnectWise, TeamCity, SimpleHelp, CrushFTP, SmarterMail, BeyondTrust, GoAnywhere MFT). Deuxièmement, surveiller les installations non autorisées d’outils de gestion à distance, que Storm-1175 utilise pour le mouvement latéral. Troisièmement, déployer des règles de détection pour les schémas d’exfiltration de données Rclone et Bandizip, qui fournissent une alerte précoce avant le déploiement du rançongiciel.