● Numerama 📅 07/04/2026 à 16:57

Cybersécurité 👤 Amine Baba Aissa

🏷️ Tags : ransomware chine russie vulnérabilités cert rte

Lecture Zen Résumer l'article Le groupe cybermalveillant Storm-1175, affilié à la Chine, utilise le ransomware Medusa pour cibler des secteurs vulnérables aux États-Unis, comme l'a révélé Microsoft le 6 avril 2026. Storm-1175 excelle dans l'exploitation de failles zero-day, utilisant Medusa pour attaquer rapidement, qu'ils ont notamment déployé après la divulgation de vulnérabilités telles que SAP NetWeaver. Medusa, apparu en 2021, continue d'être utilisé via un modèle RaaS, échappant à l'attribution directe, et a été exploité par des acteurs tels que le groupe nord-coréen Lazarus, selon Broadcom. Le groupe cybermalveillant Storm-1175, affilié à la Chine, utilise le ransomware Medusa pour cibler des secteurs vulnérables aux États-Unis, comme l'a révélé Microsoft le 6 avril 2026. Storm-1175 excelle dans l'exploitation de failles zero-day, utilisant Medusa pour attaquer rapidement, qu'ils ont notamment déployé après la divulgation de vulnérabilités telles que SAP NetWeaver. Medusa, apparu en 2021, continue d'être utilisé via un modèle RaaS, échappant à l'attribution directe, et a été exploité par des acteurs tels que le groupe nord-coréen Lazarus, selon Broadcom. Recevez tous les soirs un résumé de l’actu importante avec Le Récap’ Le 6 avril 2026, Microsoft a publié un article de blog révélant les nouvelles capacités de frappe de Storm-1175. Ce groupe cybermalveillant affilié à la Chine, aux motivations financières, est au cœur des récentes paralysies d’acteurs économiques sensibles aux États-Unis. Parmi ses armes de prédilection : le ransomware Medusa, qui voyage sans relâche dans l’écosystème cybercriminel. À la fin du mois de février 2026, l’UMMC, le plus grand hôpital du Mississippi, est resté paralysé pendant neuf jours. Une éternité durant laquelle les équipes ont du revenir au papier et au stylo pour gérer urgences pédiatriques et traumatologiques. Quelques jours plus tard, au tour du comté de Passaic dans le New Jersey de perdre l’accès à ses systèmes informatiques et ses lignes téléphoniques. Deux attaques distinctes menées avec la même arme : le ransomware Medusa. Ce logiciel malveillant, qui a déjà frappé la France il y a quelques années, s’échange sans relâche entre pirates sans scrupules. Faux SMS, mails frauduleux… Ne tombez plus dans le piège ! Gardez toujours une longueur d’avance sur les fraudeurs. Bitdefender Scam Protection analyse, détecte et neutralise instantanément les escroqueries qui visent votre argent. Une protection invisible mais redoutable, intégrée à Bitdefender Premium Security. Sponsorisé Je me protège contre les arnaques. Storm-1175 aux commandes de Medusa Locaux du Microsoft Cybercrime Center à Redmond // Source : Photo Numerama Selon Microsoft, qui a publié un article de blog le 6 avril 2026, le ransomware Medusa est désormais déployé par Storm-1175, un groupe affilié à la Chine. Ce cyberacteur se distingue par un mode opératoire particulièrement cynique. Il cible des secteurs vulnérables, déploie ses attaques de manière rapide et utilise le ransomware Medusa comme arme principale. Les équipes threat intel du géant américain précisent que Storm-1175 peut frapper en 24 heures chrono dans certains cas, passant de l’accès initial au chiffrement ransomware. Le groupe excelle dans l’exploitation précoce de zero-days. Ils ont notamment largement utilisé la faille SAP NetWeaver seulement un jour après sa divulgation publique, ainsi que SmarterMail et GoAnywhere une semaine avant la publication du correctif. Leur arsenal repose sur des chaînes d’exploits parfaitement rodées. Ces techniques leur permettent d’établir une persistance dans les systèmes infectés, de créer des comptes administrateur et de saboter les défenses avant de déployer Medusa. Medusa circule toujours, 5 ans après son apparition Ce ransomware, apparu pour la première fois en 2021, s’est rapidement développé comme une franchise louable à des affiliés via un modèle d’abonnement. Un système de RaaS (Ransomware as a Service) qui complique forcément les pistes d’attribution. Les équipes de Check Point Research pointent vers des opérateurs russes, mentionnant notamment que le malware ne cible jamais d’organisations en Russie et dans les pays alliés de Moscou. Ils ajoutent par ailleurs que le logiciel s’échange particulièrement sur des forums du dark web russophones. Broadcom, de son côté, avait signalé en février 2026 que le ransomware avait été utilisé par les hackers nord-coréens du groupe Lazarus contre des infrastructures de santé américaines. Autant d’indices qui pointent vers le même constat : on risque d’entendre parler de Medusa pendant encore un bon moment. Votre VPN préféré n'est pas celui que vous croyez Quels sont les meilleurs VPN en 2026 ? Notre comparatif Retrouvez notre comparateur pour choisir le meilleur VPN Toute l'actu tech en un clin d'œil Ajoutez Numerama à votre écran d'accueil et restez connectés au futur ! Installer Numerama Tous nos articles sont aussi sur notre profil Google : suivez-nous pour ne rien manquer ! Crédit photo de la une : Montage Numerama Signaler une erreur dans le texte Ne plus voir cette pub Ne plus voir cette pub Chine Corée du Nord Microsoft Russie Cybercriminalité Géopolitique

🔗 Lire l'article original 👁️ 0 lecture