Acceso remoto, robo y cifrado: una vulnerabilidad 0-day deja cientos de servidores GoAnywhere bajo control de extorsionadores

El grupo Storm-1175, relacionado con los operadores del ransomware Medusa, lleva casi un mes explotando una vulnerabilidad crítica en GoAnywhere MFT para atacar redes corporativas. La vulnerabilidad con identificador CVE-2025-10035 afecta la herramienta web de Fortra para intercambio seguro de archivos y está asociada con un error de deserialización de datos no confiables en el componente License Servlet. La explotación de la vulnerabilidad es posible de forma remota, sin intervención del usuario y con complejidad mínima.

Según los datos de Shadowserver Foundation, hay más de 500 instancias de GoAnywhere MFT expuestas en internet, y no está claro cuántas de ellas ya han sido actualizadas. Aunque Fortra publicó una corrección el 18 de septiembre, entonces no había señales oficiales de explotación activa. Sin embargo, una semana después especialistas de WatchTowr Labs informaron que la vulnerabilidad se había usado como día cero al menos desde el 10 de septiembre, cuando obtuvieron confirmaciones fiables de ataques.

Posteriormente Microsoft confirmó las conclusiones de WatchTowr: los atacantes de Storm-1175 emplearon el exploit desde el 11 de septiembre para la intrusión inicial en la infraestructura. Los investigadores de la compañía registraron actividad coherente con las técnicas conocidas de este grupo. Para afianzarse en los sistemas, los atacantes usaron herramientas de administración remota SimpleHelp y MeshAgent, luego ejecutaron un escaneo de red con Netscan, realizaron comandos para recopilar información sobre usuarios y nodos y se propagaron por los sistemas internos usando el cliente Microsoft Remote Desktop (mstsc.exe).

Tras moverse por la red, los atacantes instalaron la utilidad Rclone para extraer datos y desplegaron la carga útil Medusa, cifrando el contenido de los sistemas de las víctimas.

Anteriormente, en marzo, CISA junto con el FBI y MS-ISAC advirtieron que las operaciones de Medusa ya afectaron a más de 300 activos de infraestructura crítica de EE. UU. Y en julio de 2024 Microsoft vinculó a Storm-1175 con campañas en las que, por una vulnerabilidad de omisión de autenticación en VMware ESXi, se propagaron los ransomwares Akira y Black Basta. Microsoft y Fortra recomiendan a los administradores actualizar de inmediato GoAnywhere MFT a la versión disponible y revisar los registros en busca de errores que contengan la cadena SignedObject.getObject: esa línea indica intentos de explotación.