Se ha observado que atacantes de habla rusa y con motivación financiera aprovechan los servicios comerciales de inteligencia artificial generativa (IA) para comprometer más de 600 dispositivos FortiGate en 55 países.
Esto es según nuevos hallazgos de Amazon Threat Intelligence, que observó actividad desde el 11 de enero de 2026 hasta el 18 de febrero de 2026.
CJ Moses, director de seguridad de la información (CISO) de Amazon Integrated Security, dijo en el informe: «No observamos ninguna explotación de la vulnerabilidad FortiGate. En cambio, esta campaña tuvo éxito al explotar los puertos de administración expuestos y las credenciales débiles a través de la autenticación de un solo factor. Estas brechas de seguridad fundamentales fueron ayudadas por la IA para explotar a escala por parte de atacantes poco sofisticados».
El gigante tecnológico explicó que los actores de amenazas tienen capacidades técnicas limitadas y las superaron confiando en múltiples herramientas de inteligencia artificial generadas comercialmente para realizar varias etapas del ciclo de ataque, incluido el desarrollo de herramientas, la planificación de ataques y la generación de comandos.
Si bien una herramienta de IA sirvió como columna vertebral principal de la operación, los atacantes también confiaron en una segunda herramienta de IA como alternativa para ayudar a pivotar dentro de redes comprometidas específicas. El nombre de la herramienta de inteligencia artificial no ha sido revelado.
Se considera que este actor está motivado por ganancias financieras y no asociado con amenazas persistentes avanzadas (APT) de recursos patrocinados por el estado. Como destacó recientemente Google, los atacantes adoptan cada vez más herramientas de inteligencia artificial generativa para escalar y acelerar sus operaciones, incluso si no tienen nuevos usos para la tecnología.
Más bien, el surgimiento de herramientas de inteligencia artificial significa que funciones que alguna vez estuvieron fuera del alcance de atacantes novatos o con desafíos técnicos son cada vez más viables, reduciendo la barrera de entrada para los ciberdelincuentes y permitiéndoles idear métodos de ataque.
«Probablemente sean individuos o grupos pequeños económicamente motivados que, a través de la mejora de la IA, han alcanzado una escala operativa que anteriormente habría requerido equipos mucho más grandes y más capacitados», dijo Moses.
La investigación de Amazon sobre las actividades del atacante reveló que el atacante comprometió los entornos de Active Directory de varias organizaciones, extrajo bases de datos de credenciales completas e incluso penetró la infraestructura de respaldo de los objetivos antes de implementar el ransomware.
Lo interesante aquí es que en lugar de idear una forma de sobrevivir en un entorno reforzado o con controles de seguridad avanzados, los atacantes optaron por abandonar por completo su objetivo y pasar a una víctima relativamente benigna. Esto muestra que la IA se está utilizando como una forma de cerrar la brecha de habilidades para facilitar la selección.
Amazon dijo que identificó una infraestructura de acceso público controlada por los atacantes que albergaba varios artefactos relacionados con la campaña. Esto incluye planes de ataque generados por IA, configuraciones de víctimas y código fuente para herramientas personalizadas. El modus operandi general se asemeja a una «línea de montaje de delitos cibernéticos impulsada por IA», añadió la empresa.
En el centro de este ataque, los atacantes pudieron comprometer el dispositivo FortiGate y extraer la configuración completa del dispositivo, lo que les permitió recopilar credenciales, información de topología de red e información de configuración del dispositivo.
Esto incluyó un escaneo sistemático de las interfaces de administración de FortiGate expuestas a Internet a través de los puertos 443, 8443, 10443 y 4443, seguido de un intento de autenticación utilizando credenciales comúnmente reutilizadas. Esta actividad fue independiente del sector y representó un escaneo masivo automatizado de dispositivos vulnerables. El escaneo se inició desde la dirección IP 212.11.64(.)250.
Luego, los datos robados se utilizaron para penetrar profundamente en la red del objetivo y realizar actividades posteriores a la explotación, como escaneo de vulnerabilidades de reconocimiento utilizando Nuclei, compromiso de Active Directory, captura de credenciales y acceso a la infraestructura de respaldo en línea con las operaciones típicas de ransomware.
Según los datos recopilados por Amazon, la actividad de escaneo resultó en un compromiso a nivel de organización que resultó en el acceso a múltiples dispositivos FortiGate que pertenecen a la misma entidad. Se han detectado grupos comprometidos en el sur de Asia, América Latina, el Caribe, África occidental, el norte de Europa y el sudeste asiático.
«Después de obtener acceso VPN a la red de la víctima, el atacante implementa diferentes versiones de herramientas de reconocimiento personalizadas escritas tanto en Go como en Python», dijo la compañía.
«El análisis del código fuente reveló signos claros de desarrollo asistido por IA: comentarios redundantes que simplemente reafirman los nombres de las funciones, una arquitectura simplificada con una inversión desproporcionada en formato sobre funcionalidad, análisis JSON simple con coincidencia de cadenas en lugar de una deserialización adecuada, y ajustes de compatibilidad de lenguaje integrados con resguardos de documentación vacíos».
Estos son algunos de los otros pasos que toman los actores de amenazas después de la fase de reconocimiento:
Comprometer un dominio mediante un ataque DCSync. Se mueve lateralmente a través de redes mediante ataques pass-the-hash/pass-the-ticket, ataques de retransmisión NTLM y ejecución remota de comandos en hosts de Windows. Se dirige a los servidores Veeam Backup & Replication e implementa herramientas y programas de recolección de credenciales diseñados para explotar vulnerabilidades conocidas de Veeam, como CVE-2023-27532 y CVE-2024-40711.
Otro hallazgo notable es un patrón de fallas repetidas cuando los atacantes intentan explotar algo más allá de los «vectores de ataque automatizados más simples», y la propia documentación de los atacantes señala que sus objetivos han parcheado el servicio, han cerrado los puertos requeridos o no tienen vectores de explotación vulnerables.
Dado que los dispositivos Fortinet se están convirtiendo en objetivos atractivos para los actores de amenazas, es importante que las organizaciones se aseguren de que las interfaces de administración no estén expuestas a Internet, cambien las credenciales comunes y predeterminadas, roten las credenciales de usuario SSL-VPN, implementen autenticación multifactor para la administración y el acceso VPN, y auditen cuentas o conexiones de administración no autorizadas.
También es importante aislar los servidores de respaldo del acceso general a la red, garantizar que todos los programas de software estén actualizados y monitorear la exposición no deseada de la red.
«Se espera que esta tendencia continúe en 2026, por lo que las organizaciones deberían esperar un aumento continuo en la cantidad de actividad de amenazas mejorada por IA por parte de atacantes tanto capacitados como no calificados», dijo Moses. «Una base de defensa sólida sigue siendo la contramedida más eficaz: gestión de parches de dispositivos perimetrales, higiene de credenciales, segmentación de la red y detección sólida de indicadores posteriores a la explotación».
Source link
