Los investigadores de ciberseguridad advierten sobre una nueva campaña en la que los atacantes están explotando los dispositivos de firewall de próxima generación (NGFW) FortiGate como puntos de entrada para penetrar las redes de las víctimas.
Esta actividad implica explotar vulnerabilidades de seguridad recientemente reveladas o credenciales débiles para extraer archivos de configuración que contienen credenciales de cuentas de servicio e información de topología de red, dijo SentinelOne en un informe publicado hoy. Los grupos de seguridad dicen que la campaña ha identificado entornos relacionados con la atención médica, el gobierno y los proveedores de servicios administrados.
«Los dispositivos de red FortiGate tienen un acceso significativo a los entornos que deben proteger», dijeron los investigadores de seguridad Alex Delamotte, Stephen Bromfield, Mary Braden Murphy y Amey Patne. «En muchas configuraciones, esto incluye cuentas de servicio conectadas a una infraestructura de autenticación como Active Directory (AD) o el Protocolo ligero de acceso a directorios (LDAP)».
«Esta configuración permite que el dispositivo asigne roles a usuarios específicos recuperando atributos sobre las conexiones que se analizan y correlacionándolos con la información del directorio. Esto es útil cuando se configuran políticas basadas en roles y para acelerar la respuesta a las alertas de seguridad de la red detectadas por el dispositivo».
Sin embargo, la firma de ciberseguridad señaló que dicho acceso podría ser explotado por atacantes que comprometan los dispositivos FortiGate a través de vulnerabilidades conocidas (como CVE-2025-59718, CVE-2025-59719 y CVE-2026-24858) o configuraciones incorrectas.
En un incidente, los atacantes supuestamente comprometieron un dispositivo FortiGate en noviembre de 2025, crearon una nueva cuenta de administrador local llamada «soporte» y la usaron para establecer cuatro nuevas políticas de firewall que permitían que la cuenta pasara por todas las zonas sin restricciones.
Luego, el actor de amenazas continuó revisando periódicamente el dispositivo para asegurarse de que fuera accesible. Esto es consistente con los corredores de acceso inicial (IAB) que establecen un punto de apoyo y venden a otros delincuentes para obtener ganancias financieras. La siguiente fase de actividad, en la que los atacantes probablemente extrajeron archivos de configuración que contenían credenciales LDAP de cuentas de servicio cifradas, se detectó en febrero de 2026.
SentinelOne dijo: «Existe evidencia de que el atacante se autenticó en AD utilizando credenciales de texto sin formato para la cuenta de servicio fortidcagent, lo que sugiere que el atacante descifró los archivos de configuración y extrajo las credenciales de la cuenta de servicio».
Luego, los atacantes aprovecharon la cuenta de servicio para autenticarse en el entorno de la víctima y registrar la estación de trabajo no autorizada en AD, lo que permitió un acceso más profundo. Después de este paso, se inició un escaneo de la red, momento en el cual se detectó el compromiso y se detuvo el movimiento lateral adicional.
En otro caso investigado a finales de enero de 2026, los atacantes pasaron rápidamente del acceso al firewall a implementar herramientas de acceso remoto como Pulseway y MeshAgent. Además, los atacantes descargaron malware de depósitos de almacenamiento en la nube a través de PowerShell desde la infraestructura de Amazon Web Services (AWS).
Se utilizó malware Java iniciado mediante descarga de DLL para filtrar el archivo NTDS.dit y el contenido de la sección de registro del SISTEMA a un servidor externo (‘172.67.196(.)232’) a través del puerto 443.
«Aunque el atacante pudo haber intentado decodificar contraseñas a partir de los datos, no observamos ningún uso de dichas credenciales entre la recopilación de las credenciales y la contención del incidente», añadió SentinelOne.
«Los dispositivos NGFW se han vuelto omnipresentes porque brindan a las organizaciones poderosas capacidades de monitoreo de red al integrar controles de seguridad de firewall con otras funciones de administración como AD», agregó. «Sin embargo, estos dispositivos son objetivos de alto valor para atacantes con una variedad de motivaciones y niveles de habilidad, desde atacantes de espionaje patrocinados por el estado hasta ataques con motivación financiera como el ransomware».
Source link
