Los investigadores de ciberseguridad están llamando la atención sobre una nueva campaña en la que los actores de amenazas están abusando de los dispositivos FortiGate Next-Generation Firewall (NGFW) como puntos de entrada para violar las redes de las víctimas.
La actividad implica la explotación de vulnerabilidades de seguridad recientemente reveladas o credenciales débiles para extraer archivos de configuración que contienen credenciales de cuentas de servicio e información de topología de red, dijo SentinelOne en un referencia publicado hoy. El equipo de seguridad dijo que la campaña ha señalado entornos vinculados a la atención médica, el gobierno y los proveedores de servicios administrados.
“Los dispositivos de red FortiGate tienen un ataque considerable a los entornos para los que fueron instalados para proteger”, dijeron los investigadores de seguridad Alex Delamotte, Stephen Bromfield, Mary Braden Murphy y Amey Patne. “En muchas configuraciones, esto incluye cuentas de servicio que están conectadas a la infraestructura de autenticación, como Active Directory (AD) y el Protocolo ágil de ataque a directorios (LDAP)”.
“Esta configuración puede permitir que el dispositivo asigne roles a usuarios específicos al obtener atributos sobre la conexión que se está analizando y correlacionando con la información del Directorio, lo cual es útil en casos donde se establecen políticas basadas en roles o para aumentar la velocidad de respuesta para alertas de seguridad de red detectadas por el dispositivo”.
Sin bloqueo, la empresa de ciberseguridad señaló que dicho ataque podría ser diligente por atacantes que irrumpan en dispositivos FortiGate a través de vulnerabilidades conocidas (por ejemplo, CVE-2025-59718, CVE-2025-59719 y CVE-2026-24858) o configuraciones incorrectas.
En un incidente, se dice que los atacantes violaron un dispositivo FortiGate en noviembre de 2025 para crear una nueva cuenta de administrador nave llamamiento “soporte” y la usaron para configurar cuatro nuevas políticas de firewall que permitieron a la cuenta atravesar todas las zonas sin ninguna restricción.
Luego, el actor de la amenaza siguió comprobando periódicamente para cerciorarse de que el dispositivo fuera accesible, una actividad consistente con un corredor de ataque auténtico (IAB) que establecía un punto de apoyo y lo vendía a otros actores criminales para obtener ganancias monetarias. La sucesivo grado de la actividad se detectó en febrero de 2026, cuando un atacante probablemente extrajo el archivo de configuración que contenía las credenciales LDAP cifradas de la cuenta de servicio.
“La evidencia demuestra que el atacante se autenticó en AD usando credenciales de texto claro de la cuenta de servicio fortidcagent, lo que sugiere que el atacante descifró el archivo de configuración y extrajo las credenciales de la cuenta de servicio”, dijo SentinelOne.
Luego, el atacante aprovechó la cuenta de servicio para autenticarse en el entorno de la víctima e inscribir estaciones de trabajo no autorizadas en el AD, permitiéndoles un ataque más profundo. Posteriormente de este paso, se inició el escaneo de la red, momento en el que se detectó la infracción y se detuvo el movimiento colateral adicional.
En otro caso investigado a finales de enero de 2026, los atacantes pasaron rápidamente del ataque al firewall a implementar herramientas de ataque remoto como Pulseway y MeshAgent. Por otra parte, el actor de amenazas descargó malware de un depósito de almacenamiento en la estrato a través de PowerShell desde la infraestructura de Amazon Web Services (AWS).
El malware Java, valiente mediante carga colateral de DLL, se utilizó para filtrar el contenido del archivo NTDS.dit y el subárbol de registro del SISTEMA a un servidor extranjero (“172.67.196(.)232”) a través del puerto 443.
“Si admisiblemente es posible que el actor haya intentado descifrar contraseñas a partir de los datos, no se identificó dicho uso de credenciales entre el momento de la cosecha de credenciales y la contención del incidente”, agregó SentinelOne.
“Los dispositivos NGFW se han vuelto omnipresentes porque brindan sólidas capacidades de monitoreo de red para las organizaciones al integrar controles de seguridad de un firewall con otras características de empresa, como AD”, agregó. “Sin bloqueo, estos dispositivos son objetivos de stop valía para actores con una variedad de motivaciones y niveles de tiento, desde actores alineados con el estado que realizan espionaje hasta ataques con motivación financiera como el ransomware”.
