Imaginez : un hacker repère une faille dans votre serveur de messagerie. Moins de 24 heures plus tard, toutes vos données sont chiffrées, vos fichiers clients exfiltrés, et un message s’affiche sur vos écrans : « Payez, ou tout sera publié. » Science-fiction ? Non. C’est exactement ce que fait le groupe Storm-1175, démasqué par Microsoft dans un rapport explosif publié le 6 avril 2026. Leur arme : le ransomware Medusa. Leur cible préférée : les PME, les hôpitaux et les écoles.

Storm-1175 : un groupe chinois d’une rapidité inédite

Storm-1175 n’est pas un groupe de hackers ordinaire. Selon Microsoft Threat Intelligence, cet acteur basé en Chine mène des campagnes de ransomware à « haute vélocité » en exploitant des vulnérabilités connues — et parfois des failles zero-day — dans les systèmes exposés sur Internet. Ce qui les distingue ? Leur vitesse d’exécution terrifiante.

Là où un groupe classique met des semaines à passer de l’intrusion au chiffrement, Storm-1175 boucle l’opération en quelques jours, voire en moins de 24 heures. Microsoft précise que le groupe cible la fenêtre critique entre la divulgation d’une faille et l’application du correctif par les entreprises — ce moment où des milliers d’organisations sont vulnérables sans le savoir.

« Le tempo opérationnel élevé de Storm-1175 et sa maîtrise dans l’identification des actifs exposés ont fait leurs preuves, avec des intrusions récentes impactant lourdement les organisations de santé, d’éducation, de services professionnels et de finance en Australie, au Royaume-Uni et aux États-Unis. »— Microsoft Threat Intelligence, 6 avril 2026

Plus de 16 failles exploitées, dont des zero-days

Depuis 2023, Microsoft a observé l’exploitation de plus de 16 vulnérabilités par Storm-1175. La liste donne le vertige : Microsoft Exchange, SAP NetWeaver, GoAnywhere MFT, ConnectWise ScreenConnect, JetBrains TeamCity, Ivanti Connect Secure, CrushFTP, SmarterMail, BeyondTrust… Des logiciels que des milliers de PME utilisent au quotidien.

Plus inquiétant encore : le groupe a exploité au moins trois vulnérabilités zero-day. La faille CVE-2026-23760 dans SmarterMail et la faille CVE-2025-10035 dans GoAnywhere MFT (score CVSS de 10.0 sur 10, soit la gravité maximale) ont toutes deux été exploitées une semaine avant leur divulgation publique. Ce niveau de sophistication était jusqu’ici réservé aux groupes étatiques — pas aux cybercriminels motivés par l’argent.

Un cas emblématique : la faille SAP NetWeaver divulguée le 24 avril 2025 a été exploitée par Storm-1175 dès le lendemain. Le groupe enchaîne aussi plusieurs exploits pour obtenir l’exécution de code à distance, rendant la compromission quasi instantanée.

Medusa : la machine à double extorsion

Le ransomware Medusa, actif depuis juin 2021, fonctionne sur un modèle de Ransomware-as-a-Service (RaaS). Selon la CISA (l’agence américaine de cybersécurité), Medusa avait déjà frappé plus de 300 organisations dans des secteurs critiques en février 2025. Aujourd’hui, le compteur dépasse les 518 victimes connues, réparties dans plus de 45 pays.

Le mode opératoire est rodé : double extorsion. Les hackers chiffrent vos données ET les volent. Si vous ne payez pas, ils menacent de tout publier sur leur site de fuites. Les rançons demandées oscillent entre 100 000 et 15 millions de dollars.

Parmi les victimes récentes les plus marquantes : SimonMed Imaging, un réseau d’imagerie médicale américain dont les données de 1,27 million de patients ont été compromises, incluant des dossiers médicaux, des pièces d’identité et des données financières. Les hackers ont exigé 1 million de dollars — ou 10 000 dollars par jour de délai supplémentaire.

Les secteurs les plus touchés ? Les services aux entreprises (62 victimes), la santé (43), l’industrie (35), la technologie (32) et les administrations publiques (17). Les États-Unis concentrent à eux seuls 256 victimes, suivis du Royaume-Uni (37), du Canada (36) et de l’Australie (13).

Pourquoi les PME sont en première ligne

Si vous dirigez une PME, cette menace vous concerne directement. Medusa cible en priorité les entreprises de taille moyenne dans des secteurs où la moindre interruption coûte cher : santé, services, industrie, technologie. Pourquoi ? Parce que ces organisations ont souvent un retard de patching chronique, des budgets cybersécurité limités et une tolérance quasi nulle à l’interruption d’activité.

Le modus operandi de Storm-1175 après intrusion est méthodique : création de comptes administrateurs, déploiement de web shells, utilisation d’outils légitimes de surveillance à distance (SimpleHelp, MeshAgent) pour se déplacer latéralement, vol d’identifiants avec Impacket, puis exfiltration des données via Rclone avant le chiffrement final avec Medusa. Ils vont même jusqu’à désactiver Microsoft Defender en ajoutant le disque C:\ entier à la liste d’exclusions de l’antivirus.

« Si cette menace n’est pas contrôlée, l’impact dépasse le simple segment de réseau chiffré. Medusa est conçu pour la double extorsion : la menace n’est pas seulement l’arrêt d’activité, mais l’exposition publique des données, les pénalités réglementaires et la perte de confiance des partenaires. »— SecurityWeek, avril 2026

Comment protéger votre entreprise dès maintenant

Microsoft et la CISA recommandent des mesures concrètes que toute PME peut — et doit — mettre en œuvre :

  • Patcher en urgence tous les logiciels exposés sur Internet, en priorité les outils de messagerie, de transfert de fichiers et d’accès à distance.
  • Cartographier votre surface d’attaque : identifiez chaque serveur, application ou service accessible depuis l’extérieur.
  • Activer l’authentification multifacteur (MFA) sur tous les comptes, sans exception.
  • Segmenter votre réseau pour limiter les déplacements latéraux en cas d’intrusion.
  • Activer la protection anti-falsification (tamper protection) de votre antivirus pour empêcher les hackers de le désactiver.
  • Surveiller les outils d’administration à distance inhabituels sur votre réseau (SimpleHelp, MeshAgent, AnyDesk…).
  • Sauvegarder hors ligne vos données critiques et tester régulièrement vos restaurations.

À retenir

  • Storm-1175, un groupe cybercriminel lié à la Chine, déploie le ransomware Medusa en exploitant des failles zero-day à une vitesse record — parfois moins de 24 heures entre l’intrusion et le chiffrement.
  • Le groupe a exploité plus de 16 vulnérabilités dans des logiciels courants (Exchange, GoAnywhere, SAP, ConnectWise…) utilisés par des milliers de PME.
  • Medusa a fait plus de 518 victimes dans 45 pays, avec des rançons allant jusqu’à 15 millions de dollars et un modèle de double extorsion.
  • Les PME des secteurs santé, services et industrie sont les cibles prioritaires en raison de leur retard de patching et de leur faible tolérance aux interruptions.
  • La protection passe par le patching immédiat, la MFA, la segmentation réseau et des sauvegardes hors ligne testées régulièrement.

Photo : Antoni Shkraba Studio via Pexels