A Microsoft confirmou que um grupo de cibercriminosos identificado como Storm-1175 vem explorando ativamente uma vulnerabilidade crítica no GoAnywhere MFT, aproveitada em ataques com ransomware Medusa. O problema, rastreado como CVE-2025-10035, ocorre devido a uma falha de desserialização de dados não confiável no License Servlet e permite a execução remota de código sem interação do usuário. A falha possui CVSS 3.1 de 10,0diminuir risco máximo.
Leia também
Cibercriminosos ameaçam clientes da Oracle por email
Quadrilha enriquecedora com deepfakes de famosos em golpe ‘pague só o frete’
UM exploração começou em setembro de 2025, pouco antes da Correção liberada pela Fortra em 18 de setembro. Pesquisadores relataram que a vulnerabilidade estava sendo utilizada como zero-day desde 10 de setembro, e a Microsoft confirmou que Storm-1175 usou o erro para acesso inicial, mantendo persistência com ferramentas de gerenciamento remoto como SimpleHelp e MeshAgent.
Durante os ataques, os invasores realizam reconhecimento de rede, descoberta de usuários e sistemas, movimentação lateral via Microsoft Remote Desktop, exfiltração de arquivos com Rclone e, por fim, implantam o ransomware Medusa. O grupo já esteve envolvido em ataques contra mais de 300 organizações de infraestrutura crítica nos Estados Unidos e na exploração de outras vulnerabilidades em VMware ESXi, com implantação de ransomwares Akira e Black Basta.
Para se proteger, a Microsoft e o Fortra recomendam atualizar imediatamente o GoAnywhere MFT para a versão mais recente. Além disso, os administradores devem operar logs em busca de erros de stack trace com o termo SignedObject.getObject para identificar possíveis comprometimentos.
