Se cree que un corredor de acceso inicial (IAB) de habla rusa, motivado por ganancias financieras, está detrás de una operación de recolección de credenciales a gran escala conocida como FortiBleed que tuvo como objetivo más de 430.000 firewalls FortiGate en todo el mundo.
La campaña, que ha estado activa desde febrero de 2026, implica recopilar listas de credenciales, buscar servicios expuestos, forzar sistemas accesibles por fuerza bruta e implementar rastreadores personalizados en firewalls comprometidos.
«Una vez implementados, estos rastreadores capturan texto sin formato y credenciales hash del tráfico que pasa a través de un dispositivo comprometido», dijo SOCRadar en su último informe (PDF). «Luego, el atacante descifra, valida y reutiliza las credenciales en dominios de Active Directory y otros servicios expuestos».
En el centro de esta operación se encuentra una herramienta basada en Golang llamada FortigateSniffer. Esta herramienta aprovecha el comando de diagnóstico integrado de FortiOS, el paquete Diagnose Sniffer, para capturar pasivamente el tráfico de autenticación de un dispositivo infectado. La herramienta está diseñada para monitorear el tráfico a través de 24 protocolos, analizar datos de autenticación y extraer credenciales.
Se sospecha que el actor de amenazas pudo haber solicitado la ayuda de una plataforma de seguridad ofensiva nativa de IA de código abierto llamada CyberStrike para ayudar con «partes del flujo de trabajo». Curiosamente, se utilizó otro marco de código abierto llamado CyberStrikeAI en conexión con otra campaña de escaneo masivo automatizado dirigida a dispositivos FortiGate publicada por Amazon Threat Intelligence a principios de este año.
«Podemos ver que esta campaña se centra en las pequeñas y medianas empresas (PYMES) con menos de 200 empleados», explicó SOCRadar. «Los atacantes se dirigen a múltiples sectores y geografías, con un enfoque particular en los Estados Unidos y la India. El sector de servicios de TI parece ser un objetivo principal. Esta elección de objetivo podría ayudar a los atacantes a maximizar el acceso descendente, ya que los proveedores de servicios comprometidos pueden crear rutas de acceso a los entornos de los clientes».
Quizás el hallazgo más interesante es que FortiBleed parece ser parte de una operación de acceso inicial más amplia de múltiples proveedores que fue orquestada no solo para apuntar a dispositivos Fortinet sino también para usar fuerza bruta automatizada para comprometer Synology NAS, firewalls de Sophos, portales RDWeb, Citrix SSL-VPN y servidores MS-SQL a partir del 28 de febrero de 2026.
En total, se estima que los atacantes lanzaron al menos 659 canales de recopilación de credenciales entre el 31 de mayo de 2026 y el 15 de junio de 2026, lo que resultó en la identificación de más de 110 millones de credenciales. Esto incluye –
14,8 millones de credenciales del Servicio de autenticación remota telefónica de usuario (RADIUS) 924 000 hashes NTLM 130 000 hashes Kerberos 89 millones de tokens de autenticación MySQL
La campaña FortiBleed se desarrollará en cinco etapas.
Realizamos una investigación exhaustiva utilizando herramientas como Masscan y Shodan para identificar firewalls FortiGate vulnerables conectados a Internet y luego utilizamos utilidades personalizadas llamadas FortiProbe-fast y GeoSplit para filtrar y agrupar los sistemas FortiGate por país. Utiliza un verificador de credenciales llamado «forticheck» que apunta específicamente al panel de administración de FortiGate y al portal SSL-VPN para comprometer dispositivos, y herramientas para obtener acceso administrativo SSH a través de ataques de diccionario y relleno de credenciales. Una vez que se establece el acceso a través de SSH, FortigateSniffer se implementa para interceptar pasivamente el tráfico de autenticación a través de 24 protocolos (TACACS+, Kerberos, RPC, SMB, LDAP, SMTP, FTP, Telnet, RDP, WinRM, MS-SQL, MySQL, PostgreSQL, RADIUS, etc.) utilizando comandos de diagnóstico nativos de FortiOS para recopilar credenciales de texto sin cifrar y hashes de contraseñas. Los hashes de contraseñas se descifran utilizando Hashmat y Hashtopolis, orquestados por un bot de Telegram llamado HASHBOT, y luego utilizados para el movimiento lateral y la enumeración de Active Directory. Se extraen datos confidenciales de recursos compartidos de red y se utilizan cookies de sesión robadas para mantener un acceso autenticado persistente.
«Este grupo no trata a todos los objetivos por igual», dijo SOCRadar. «En cambio, los objetivos se clasifican según su valor económico antes de asignar los recursos de explotación».
Además, el mecanismo de rastreo incluye un filtro de geocerca que restringe las operaciones a rangos de IP específicos, así como también restringe las operaciones entre las 7 a. m. y las 6 p. m., hora de Moscú. Según los datos obtenidos por SpyCloud, el ciclo de adquisición relacionado con FortiGate supuestamente comenzó el 19 de mayo de 2026, con la infraestructura de craqueo de hash instalada hacia finales de mes.
«Esta operación se ejecuta en un ciclo de 300 minutos (5 horas), y el estado se muestra cada minuto», dijo Zenox. «Cada ciclo, la lista de objetivos regionales (…) se carga y se verifica con 1.000 subprocesos simultáneos, mostrando contadores de éxitos, fracasos, tiempos de espera y advertencias. En el primer ciclo, la tasa de éxito de la verificación rondaba el 90%».
La firma brasileña de ciberseguridad también dijo que encontró ciertos pares de nombre de usuario y contraseña repetidos en miles de direcciones IP diferentes, lo que plantea la posibilidad de que estas cuentas hayan sido implantadas por atacantes como puntos de entrada secretos.
El desarrollo se produce después de que una cuenta de habla rusa llamada «SantaAd» anunciara el acceso a miles de dispositivos Fortinet por un precio inicial de 30.000 dólares y luego aumentara el precio a 60.000 dólares una hora más tarde. Sin embargo, no está claro si esto tiene algo que ver con la revelación de FortiBleed.
«El grupo de actores de amenazas detrás de ‘FortiBleed’ no solo apuntaba a FortiGate VPN», dijo SpyCloud. «En realidad, estaban apuntando a una variedad de dispositivos conectados a Internet con una cadena de ataque estándar tipo spray-and-play que se basaba principalmente en escaneos masivos e inicios de sesión por fuerza bruta».
Source link
