Advertencia: Más de 600 dispositivos FortiGate comprometidos globalmente
Publicado el
Introducción
Un reciente informe de Amazon Threat Intelligence ha revelado que un actor de amenazas de habla rusa, impulsado por fines económicos, ha comprometido más de 600 dispositivos FortiGate en 55 países. Este ataque, que tuvo lugar entre el 11 de enero y el 18 de febrero de 2026, no utilizó vulnerabilidades específicas de FortiGate, sino que se centró en puertos de gestión expuestos y credenciales débiles.
Detalles del ataque
CJ Moses, CISO de Amazon Integrated Security, explicó que el actor de amenazas mostró capacidades técnicas limitadas, las cuales fueron superadas mediante el uso de herramientas de inteligencia artificial generativa comercial. Estas herramientas facilitaron diversas fases del ciclo de ataque, como el desarrollo de herramientas, la planificación de ataques y la generación de comandos. Aunque no se revelaron los nombres de las herramientas utilizadas, se destacó que una de ellas fue fundamental para la operación, mientras que otra se utilizó como respaldo para la navegación dentro de redes comprometidas.
El actor parece estar motivado exclusivamente por beneficios económicos y no está vinculado a amenazas persistentes avanzadas (APT) respaldadas por estados. La tendencia de los actores de amenazas a adoptar herramientas de inteligencia artificial generativa está en aumento, permitiendo que incluso aquellos con menos habilidades técnicas puedan escalar sus operaciones.
Estrategias empleadas
Amazon ha identificado que este actor de amenazas ha comprometido entornos de Active Directory de múltiples organizaciones, extrayendo bases de datos completas de credenciales y apuntando a infraestructuras de respaldo, posiblemente como preparación para un despliegue de ransomware. Interesantemente, el enfoque del atacante fue abandonar objetivos con defensas robustas y optar por víctimas más vulnerables, utilizando la inteligencia artificial para superar su falta de habilidades.
La investigación de Amazon también descubrió infraestructura accesible públicamente gestionada por los atacantes, que albergaba artefactos de la campaña, incluidos planes de ataque generados por IA y configuraciones de las víctimas. Este enfoque ha sido descrito como una “línea de montaje potenciada por IA para el cibercrimen”.
Metodología del ataque
Los ataques permitieron al actor vulnerar dispositivos FortiGate, extrayendo configuraciones completas que facilitaron la obtención de credenciales, información sobre la topología de la red y datos de configuración de dispositivos. La metodología implicó un escaneo sistemático de interfaces de gestión de FortiGate expuestas a Internet a través de puertos como 443, 8443, 10443 y 4443, seguido de intentos de autenticación con credenciales comúnmente reutilizadas. Este escaneo mostró un carácter sectorialmente indiferente, lo que sugiere un escaneo masivo automatizado en busca de dispositivos vulnerables.
Los datos robados se utilizaron para profundizar en redes específicas y llevar a cabo actividades posteriores a la explotación, que incluían la exploración de vulnerabilidades con herramientas como Nuclei, el compromiso de Active Directory y la recolección de credenciales. El análisis del código fuente de las herramientas utilizadas reveló indicadores claros de desarrollo asistido por IA, incluyendo comentarios redundantes y una arquitectura simple que priorizaba el formato sobre la funcionalidad.
Conclusión
La actividad de escaneo ha resultado en compromisos a nivel organizacional, afectando a múltiples dispositivos FortiGate pertenecientes a la misma entidad en diferentes regiones, incluyendo el sur de Asia, América Latina, el Caribe, África Occidental, Europa del Norte y el sudeste asiático. La capacidad de los actores de amenazas para adaptar sus métodos mediante el uso de herramientas de IA plantea un riesgo creciente en el ámbito de la ciberseguridad, señalando la necesidad urgente de reforzar las medidas de seguridad y la concienciación sobre la gestión de credenciales.