Storm-1175 Serang Sistem dengan Zero-Day, Sebar Ransomware Medusa dalam 24 Jam

Storm-1175, kelompok ancaman siber yang berbasis di China, semakin gencar memanfaatkan kombinasi kerentanan zero-day dan N-day untuk melancarkan serangan ransomware Medusa dengan kecepatan tinggi, menargetkan sistem yang rentan di berbagai sektor penting.

Menurut tim Intelijen Ancaman Microsoft, kelompok ini menggunakan tempo operasional yang sangat cepat dan kemampuan tinggi dalam mengidentifikasi aset perimeter yang terbuka, sehingga berhasil melakukan penetrasi terutama pada organisasi layanan kesehatan, serta sektor pendidikan, jasa profesional, dan keuangan di Australia, Inggris, dan Amerika Serikat.

Eksploitasi Zero-Day dan Kerentanan Terbaru

Storm-1175 diketahui melancarkan serangan dengan memanfaatkan zero-day bahkan sebelum kerentanan tersebut dipublikasikan secara resmi, serta menggabungkan beberapa eksploitasi untuk memperdalam akses setelah kompromi awal. Metode ini memungkinkan mereka untuk menyebarkan ransomware Medusa dengan cepat, terkadang hanya dalam waktu 24 jam setelah berhasil masuk.

Sejak tahun 2023, kelompok ini telah mengeksploitasi lebih dari 16 kerentanan kritis, termasuk:

• CVE-2023-21529 (Microsoft Exchange Server)
• CVE-2023-27351 dan CVE-2023-27350 (Papercut)
• CVE-2023-46805 dan CVE-2024-21887 (Ivanti Connect Secure dan Policy Secure)
• CVE-2024-1708 dan CVE-2024-1709 (ConnectWise ScreenConnect)
• CVE-2024-27198 dan CVE-2024-27199 (JetBrains TeamCity)
• CVE-2024-57726, CVE-2024-57727, dan CVE-2024-57728 (SimpleHelp)
• CVE-2025-31161 (CrushFTP)
• CVE-2025-10035 (Fortra GoAnywhere MFT)
• CVE-2025-52691 dan CVE-2026-23760 (SmarterTools SmarterMail)
• CVE-2026-1731 (BeyondTrust)

Di antara kerentanan tersebut, CVE-2025-10035 dan CVE-2026-23760 dieksploitasi sebagai zero-day sebelum pengumuman publik. Selain itu, sejak akhir 2024, Storm-1175 menunjukkan peningkatan serangan terhadap sistem Linux, termasuk eksploitasi terhadap Oracle WebLogic, meskipun detail kerentanannya belum terungkap.

Taktik dan Teknik Serangan yang Digunakan

Microsoft mencatat bahwa Storm-1175 dengan cepat memanfaatkan celah antara pengumuman kerentanan dan adopsi patch oleh organisasi, memanfaatkan waktu kritis di mana perlindungan masih minim.

Beberapa teknik yang dipakai dalam serangan antara lain:

• Menggunakan living-off-the-land binaries (LOLBins) seperti PowerShell, PsExec, dan Impacket untuk bergerak lateral di jaringan.
• Memanfaatkan PDQ Deployer untuk distribusi payload ransomware Medusa dan pergerakan lateral.
• Memodifikasi kebijakan Windows Firewall agar Remote Desktop Protocol (RDP) aktif dan memudahkan penyebaran malware.
• Mencuri kredensial menggunakan Impacket dan Mimikatz.
• Mengatur pengecualian pada Microsoft Defender Antivirus agar tidak menghalangi ransomware.
• Memanfaatkan Bandizip dan Rclone untuk pengumpulan dan eksfiltrasi data.

Remote Monitoring and Management (RMM) tools seperti AnyDesk, Atera, MeshAgent, ConnectWise ScreenConnect, dan SimpleHelp juga disalahgunakan sebagai infrastruktur ganda untuk operasi rahasia. Hal ini memungkinkan penyerang menyamarkan lalu lintas berbahaya dalam platform terenkripsi yang terpercaya sehingga mengurangi kemungkinan terdeteksi.

Analisis Redaksi

Menurut pandangan redaksi, aktivitas Storm-1175 menunjukkan tren berbahaya di mana kelompok ancaman negara-negara menggunakan zero-day bukan hanya untuk spionase, tetapi juga untuk serangan finansial cepat dan berisiko tinggi. Kecepatan penyebaran ransomware Medusa dalam 24 jam setelah penetrasi awal menuntut respons keamanan yang jauh lebih proaktif dan cepat dari organisasi.

Penggunaan alat RMM sebagai sarana serangan juga mengindikasikan bahwa keamanan siber tradisional perlu beradaptasi dengan realitas baru di mana alat yang biasa dipakai untuk manajemen IT dapat berubah menjadi vektor penyusupan. Organisasi harus meningkatkan pengawasan pada penggunaan perangkat lunak ini dan mengimplementasikan segmentasi jaringan ketat.

Kedepannya, ancaman yang dihadirkan Storm-1175 memperingatkan bahwa keberhasilan patching dan deteksi dini menjadi kunci utama melindungi aset digital. Terus mengikuti informasi terkait kerentanan terbaru dan menerapkan pembaruan sistem secara cepat sangat penting guna mencegah eksploitasi zero-day yang semakin sering terjadi. Untuk informasi lebih lengkap, Anda bisa membaca laporan asli dari The Hacker News.