A Storm-1175 néven nyomon követett kiberbűnözői csoport a Medusa ransomware támadásokban közel egy hónapja aktívan kihasználja a GoAnywhere MFT rendszer kritikus sebezhetőségét.
A CVE-2025-10035 azonosítón nyomon követett sérülékenységet a License Servlet komponensben található nem megbízható adatok deszerializálása okozza, amely a Fortra webalapú, biztonságos fájlátviteli megoldását, a GoAnywhere MFT-t érinti. Ez a sebezhetőség távolról is kihasználható és nem igényel felhasználói beavatkozást.
A Fortra a sebezhetőséget 2025. szeptember 18-én javította, anélkül hogy utalt volna annak aktív kihasználására. A WatchTowr Labs kiberbiztonsági kutatói egy héttel később „valós bizonyítékok” birtokában megerősítették, hogy a CVE-2025-10035 azonosítójú sérülékenységet már szeptember 10. óta nulladik napi (zero-day) támadásokban aktívan kihasználták. Ezt a Microsoft is megerősítette, kijelentve, hogy a Storm-1175 csoport a Medusa zsarolóvírus-támadásaiban 2025. szeptember 11-től használja ki ezt a sebezhetőséget.
A támadás következő szakaszában a Medusa RMM (remote monitoring and management) bináris állományait futatták, a Netscan szolgáltatást használta hálózati felderítésre, valamint parancsokat hajtott végre a felhasználói és a rendszerinformációk begyűjtésére. Ezt követően a Microsoft Remote Desktop Connection kliens (mstsc[.]exe) segítségével oldalirányú mozgással több rendszerhez is hozzáfért a feltört hálózaton belül.
A támadások során legalább egy áldozat környezetében Rclone-t használtak az ellopott adatok kiszivárogtatására, és Medusa zsarolóvírus-komponenseket is bevetettek az áldozatok fájljainak titkosítására.
A Microsoft és a Fortra egyaránt azt javasolja a rendszergazdáknak a GoAnywhere MFT szervereket célzó Medusa ransomware támadások elleni védekezés érdekében frissítsék rendszereiket a legújabb verzióra. Emellett a Fortra arra is felhívta az ügyfelei figyelmét, hogy vizsgálják át naplófájljaikat olyan stack trace bejegyzések után kutatva, melyek a SignedObject[.]getObject karakterláncot tartalmazzák, annak megállapítása érdekében, hogy rendszereik érintettek-e ezekben a támadásokban.