Se ha observado que un actor de amenazas de palabra rusa y con motivación financiera aprovecha los servicios comerciales de inteligencia químico generativa (IA) para comprometer más de 600 dispositivos FortiGate ubicados en 55 países.
Esto es según nuevos hallazgos de Amazon Threat Intelligence, que dijo que observó la actividad entre el 11 de enero y el 18 de febrero de 2026.
“No se observó explotación de las vulnerabilidades de FortiGate; en cambio, esta campaña tuvo éxito al explotar puertos de compañía expuestos y credenciales débiles con autenticación de un solo coeficiente, brechas de seguridad fundamentales que la IA ayudó a un actor poco sofisticado a explotar a escalera”, dijo en un referencia CJ Moses, director de seguridad de la información (CISO) de Amazon Integrated Security.
El superhombre tecnológico describió que el actor de la amenaza tiene capacidades técnicas limitadas, una tapia que superó al encomendar en múltiples herramientas comerciales de IA generativa para implementar varias fases del ciclo de ataque, como el ampliación de herramientas, la planificación de ataques y la reproducción de comandos.
Si aceptablemente una útil de IA sirvió como columna vertebral principal de la operación, los atacantes además confiaron en una segunda útil de IA como respaldo para ayudar a pivotar adentro de una red comprometida específica. Los nombres de las herramientas de inteligencia químico no fueron revelados.
Se considera que el actor de la amenaza está impulsado por ganancias financieras y no está asociado con ninguna amenaza persistente destacamento (APT) con capital patrocinados por el estado. Como destacó recientemente Google, los actores de amenazas adoptan cada vez más herramientas de inteligencia químico generativa para progresar y acelerar sus operaciones, incluso si no las equipan con usos novedosos de la tecnología.
En todo caso, el surgimiento de herramientas de inteligencia químico ilustra cómo capacidades que alguna vez estuvieron fuera del trascendencia de los actores de amenazas novatos o con desafíos técnicos se están volviendo cada vez más factibles, lo que reduce aún más la barrera de entrada para el delito cibernético y les permite idear metodologías de ataque.
“Es probable que se trate de un individuo o un asociación pequeño con motivación financiera que, a través del aumento de la IA, logró una escalera operativa que anteriormente habría requerido un equipo significativamente más sobresaliente y más capacitado”, dijo Moses.
La investigación de Amazon sobre la actividad del actor de amenazas ha revelado que comprometieron con éxito los entornos de Active Directory de varias organizaciones, extrajeron bases de datos de credenciales completas e incluso atacaron la infraestructura de respaldo, probablemente en un período previo a la implementación de ransomware.
Lo interesante aquí es que en circunstancia de idear formas de persistir en entornos reforzados o en aquellos que habían empleado controles de seguridad sofisticados, el actor de la amenaza optó por darse el objetivo por completo y ocurrir a una víctima relativamente más suave. Esto indica el uso de la IA como una forma de cerrar la brecha de habilidades para obtener ganancias fáciles.
Amazon dijo que identificó una infraestructura de entrada manifiesto administrada por los atacantes que alojaba varios artefactos pertinentes a la campaña. Esto incluía planes de ataque generados por IA, configuraciones de víctimas y código fuente para herramientas personalizadas. Todo el modus operandi es similar a una “raya de montaje impulsada por IA para delitos cibernéticos”, añadió la empresa.
En esencia, los ataques permitieron al actor de amenazas violar los dispositivos FortiGate, lo que le permitió extraer configuraciones completas del dispositivo que, a su vez, hicieron posible obtener credenciales, información de topología de red e información de configuración del dispositivo.
Esto implicó un escaneo sistemático de las interfaces de compañía de FortiGate expuestas a Internet a través de los puertos 443, 8443, 10443 y 4443, seguido de intentos de autenticación utilizando credenciales comúnmente reutilizadas. La actividad fue independiente del sector, lo que indica un escaneo masivo automatizado en rastreo de electrodomésticos vulnerables. Los escaneos se originaron en la dirección IP 212.11.64(.)250.
Luego, los datos robados se utilizaron para profundizar en las redes específicas y realizar actividades posteriores a la explotación, incluido el inspección para el escaneo de vulnerabilidades utilizando Nuclei, el compromiso de Active Directory, la convento de credenciales y los esfuerzos para entrar a la infraestructura de respaldo que se alinean con las operaciones típicas de ransomware.
Los datos recopilados por Amazon muestran que la actividad de escaneo resultó en un compromiso a nivel organizacional, lo que provocó que se accediera a múltiples dispositivos FortiGate que pertenecen a la misma entidad. Los grupos comprometidos se han detectado en el sur de Asia, América Latina, el Caribe, África occidental, el ideal de Europa y el sudeste oriental.
“A posteriori del entrada VPN a las redes de las víctimas, el actor de amenazas implementa una útil de inspección personalizada, con diferentes versiones escritas tanto en Go como en Python”, dijo la compañía.
“El observación del código fuente revela indicadores claros de ampliación asistido por IA: comentarios redundantes que simplemente reafirman los nombres de las funciones, edificación simplista con una inversión desproporcionada en el formato sobre la funcionalidad, observación JSON ingenuo mediante coincidencia de cadenas en circunstancia de una deserialización adecuada, y ajustes de compatibilidad para lenguajes integrados con resguardos de documentación vacíos”.
Algunos de los otros pasos realizados por el actor de amenazas posteriormente de la grado de inspección se enumeran a continuación:
- Logre comprometer el dominio mediante ataques DCSync.
- Muévase lateralmente a través de la red mediante ataques pass-the-hash/pass-the-ticket, ataques de retransmisión NTLM y ejecución remota de comandos en hosts de Windows.
- Apunte a los servidores Veeam Backup & Replication para implementar herramientas y programas de convento de credenciales destinados a explotar vulnerabilidades conocidas de Veeam (por ejemplo, CVE-2023-27532 y CVE-2024-40711).
Otro hallazgo digno de mención es el patrón del actor de amenazas de encontrarse repetidamente con fallas al intentar explotar cualquier cosa más allá de las “rutas de ataque automatizadas más sencillas”, y su propia documentación registra que los objetivos habían parcheado los servicios, cerrado los puertos requeridos o no tenían vectores de explotación vulnerables.
Cedido que los dispositivos Fortinet se están convirtiendo en un objetivo atractivo para los actores de amenazas, es esencial que las organizaciones se aseguren de que las interfaces de compañía no estén expuestas a Internet, cambien las credenciales comunes y predeterminadas, roten las credenciales de beneficiario SSL-VPN, implementen autenticación multifactor para entrada oficial y VPN, y realicen auditorías para cuentas o conexiones administrativas no autorizadas.
Todavía es esencial aislar los servidores de respaldo del entrada común a la red, certificar que todos los programas de software estén actualizados y monitorear la exposición no deseada de la red.
“Como esperamos que esta tendencia continúe en 2026, las organizaciones deben anticipar que la actividad de amenazas aumentada por la IA seguirá creciendo en barriguita por parte de adversarios calificados y no calificados”, dijo Moses. “Los fundamentos defensivos sólidos siguen siendo la contramedida más eficaz: gobierno de parches para dispositivos perimetrales, higiene de credenciales, segmentación de red y detección sólida de indicadores posteriores a la explotación”.
