Microsoft ha recentemente attribuito al gruppo di cybercriminali Storm-1175 l’exploit della vulnerabilità critica CVE-2025-10035 presente nel software Fortra GoAnywhere, sfruttata per diffondere il ransomware Medusa. La falla, valutata con un punteggio CVSS di 10.0, consiste in un bug di deserializzazione che consente l’iniezione di comandi senza autenticazione. Tale vulnerabilità è stata corretta nelle versioni 7.8.4 e Sustain Release 7.6.3 di GoAnywhere, ma gli attacchi sono stati rilevati già dall’11 settembre 2025, coinvolgendo diverse organizzazioni a livello globale.

Il gruppo Storm-1175 e la catena di attacco

Il gruppo Storm-1175 è noto per sfruttare applicazioni esposte su internet come vettore di accesso iniziale, adottando strategie mirate per il dispiegamento di ransomware. Nel caso specifico di CVE-2025-10035, i criminali sono riusciti a utilizzare una licenza falsificata per ottenere la deserializzazione di oggetti sotto il loro controllo, aprendo la strada all’esecuzione di codice remoto (RCE) sui sistemi vulnerabili.

Una volta ottenuto l’accesso iniziale, la catena di attacco prevede l’installazione di strumenti di gestione e monitoraggio remoti (RMM) come SimpleHelp e MeshAgent per mantenere la persistenza all’interno della rete. Parallelamente, i criminali creano file .jsp nelle directory GoAnywhere MFT, spesso in coincidenza con la distribuzione dei tool RMM. Successivamente vengono eseguiti comandi per la ricognizione di utenti, rete e sistema, utilizzando anche mstsc.exe per lo spostamento laterale tramite Remote Desktop su ambienti Windows.

Comunicazione, esfiltrazione e impatto

Il controllo e la comunicazione con i sistemi compromessi avvengono tramite tunnel Cloudflare, mentre per l’esfiltrazione dei dati almeno in un caso è stato osservato l’uso di Rclone. Tutte queste fasi sono finalizzate al dispiegamento del ransomware Medusa, con l’obiettivo di cifrare i dati e richiedere un riscatto.

La vicenda ha sollevato interrogativi sulla trasparenza e la comunicazione di Fortra nei confronti delle aziende clienti, che sarebbero state lasciate esposte agli attacchi per settimane senza informazioni chiare sul rischio reale. Tra le domande ancora senza risposta c’è come gli attaccanti siano riusciti a ottenere le chiavi private necessarie per sfruttare la vulnerabilità. Questo episodio sottolinea quanto sia fondamentale aggiornare tempestivamente i software, monitorare possibili accessi sospetti e adottare strategie di difesa in profondità per mitigare i rischi sempre più sofisticati legati ai ransomware e alle vulnerabilità zero-day.