Los investigadores de ciberseguridad advierten sobre un “pico significativo” en el tráfico de fuerza bruta dirigida a los dispositivos VPN Fortinet SSL.
La actividad coordinada, por firma de inteligencia de amenazas Greynoise, se observó el 3 de agosto de 2025, con más de 780 direcciones IP únicas que participan en el esfuerzo.
Se han detectado hasta 56 direcciones IP únicas en las últimas 24 horas. Todas las direcciones IP se han clasificado como maliciosas, con los IP que se originan en Estados Unidos, Canadá, Rusia y los Países Bajos. Los objetivos de la actividad de fuerza bruta incluyen Estados Unidos, Hong Kong, Brasil, España y Japón.
“Críticamente, el tráfico observado igualmente estaba apuntando a nuestro perfil de Fortios, lo que sugiere una orientación deliberada y precisa de las VPN SSL de Fortinet”, dijo Greynoise. “Esto no era oportunista, era una actividad enfocada”.
La compañía igualmente señaló que identificaba dos ondas de asalto distintas vistas antiguamente y luego del 5 de agosto: una, una actividad de fuerza bruta de larga duración ligada a una sola firma de TCP que permaneció relativamente estable con el tiempo, y dos, que implicaba una golpe de tráfico repentina y concentrada con una firma de TCP diferente.
“Si correctamente el tráfico del 3 de agosto se ha dirigido al perfil de Fortios, el tráfico se huele con las huellas dactilares con TCP y las firmas de los clientes, una meta firma, desde el 5 de agosto en delante no llegó a Fortios”, señaló la compañía. “En cambio, se dirigía constantemente a nuestro Fortimanager”.
“Esto indicó un cambio en el comportamiento del atacante, potencialmente la misma infraestructura o conjunto de herramientas que giran a un nuevo servicio orientado a Fortinet”.
Por otra parte de eso, un examen más profundo de los datos históricos asociados con la huella digital posterior al 5 de agosto ha descubierto un aumento precedente en junio con una firma de cliente única que resolvió un dispositivo FortiGate en un agrupación ISP residencial administrado por Pilot Fiber Inc.
Esto ha planteado la posibilidad de que las herramientas de fuerza bruta se probaron o se lanzaran inicialmente desde una red doméstica. Una hipótesis alternativa es el uso de un poder residencial.
El incremento viene en el contexto de los hallazgos de que los picos en actividades maliciosas a menudo son seguidos por la divulgación de una nueva CVE que afecta la misma tecnología en seis semanas.
“Estos patrones eran exclusivos de las tecnologías de Edge Enterprise como VPN, firewalls y herramientas de paso remoto, los mismos tipos de sistemas cada vez más atacados por actores de amenaza avanzadilla”, señaló la compañía en su documentación de señales de advertencia temprana publicadas a fines del mes pasado.
Hacker News se ha comunicado con Fortinet para hacer más comentarios, y actualizaremos si recibimos informativo.
