Los investigadores de ciberseguridad llaman la atención sobre una nueva campaña en la que los actores de amenazas abusan de los dispositivos FortiGate Next-Generation Firewall (NGFW) como puntos de entrada para violar las redes de las víctimas.

La actividad implica la explotación de vulnerabilidades de seguridad o credenciales débiles recientemente reveladas para extraer archivos de configuración que contienen las credenciales de las cuentas de servicio y la información sobre la topología de la red, afirma SentinelOne en un informe publicado hoy. La agencia de seguridad afirmó que la campaña se ha centrado en los entornos vinculados a la atención de la salud, el gobierno y los proveedores de servicios gestionados.

«Los dispositivos de red FortiGate tienen un acceso considerable a los entornos para los que se instalaron», dijeron los investigadores de seguridad Alex Delamotte, Stephen Bromfield, Mary Braden Murphy y Amey Patne dijo . «En muchas configuraciones, esto incluye las cuentas de servicio que están conectadas a la infraestructura de autenticación, como Active Directory (AD) y el Protocolo ligero de acceso a directorios (LDAP)».

adsense

«Esta configuración puede permitir al dispositivo asignar funciones a usuarios específicos al obtener atributos sobre la conexión que se está analizando y correlacionándolos con la información del directorio, lo que resulta útil en los casos en que se establecen políticas basadas en funciones o para aumentar la velocidad de respuesta de las alertas de seguridad de la red detectadas por el dispositivo».

Sin embargo, la empresa de ciberseguridad señaló que dicho acceso podría ser aprovechado por atacantes que irrumpan en los dispositivos FortiGate a través de vulnerabilidades conocidas (por ejemplo, CVE-2025-59718, CVE-2025-59719 y CVE-2026-24858) o configuraciones incorrectas .

En un incidente, se dice que los atacantes violaron un dispositivo FortiGate en noviembre de 2025 para crear una nueva cuenta de administrador local llamada «support» y la usaron para configurar cuatro nuevas políticas de firewall que permitían a la cuenta atravesar todas las zonas sin restricciones.

Luego, el autor de la amenaza comprobaba periódicamente para asegurarse de que el dispositivo era accesible, una acción consistente con que un agente de acceso inicial (IAB) estableciera un punto de apoyo y lo vendiera a otros actores delictivos para obtener ganancias monetarias. La siguiente fase de la actividad se detectó en febrero de 2026, cuando un atacante probablemente extrajo el archivo de configuración que contenía las credenciales LDAP de la cuenta de servicio cifrada.

«Las pruebas demuestran que el atacante se autenticó en el AD utilizando credenciales de texto sin cifrar de la cuenta de servicio de fortidcagent, lo que sugiere que el atacante descifró el archivo de configuración y extrajo las credenciales de la cuenta de servicio», afirma SentinelOne.

Luego, el atacante aprovechó la cuenta de servicio para autenticarse en el entorno de la víctima e inscribir estaciones de trabajo no autorizadas en el AD, lo que les permitió un acceso más profundo. Tras este paso, se inició el escaneo de la red, momento en el que se detectó la brecha y se interrumpió el movimiento lateral.

enlaces

En otro caso investigado a finales de enero de 2026, los atacantes pasaron rápidamente del acceso al firewall a la implementación de herramientas de acceso remoto como Pulseway y MeshaGent. Además, el autor de la amenaza descargó malware de un depósito de almacenamiento en la nube a través de PowerShell desde la infraestructura de Amazon Web Services (AWS).

El malware de Java, lanzado mediante la carga lateral de DLL, se utilizó para filtrar el contenido del archivo NTDS.dit y del subárbol de registro SYSTEM a un servidor externo («172.67.196 [.] 232") a través del puerto 443.

«Si bien es posible que el actor haya intentado descifrar las contraseñas de los datos, no se identificó ningún uso de credenciales de este tipo entre el momento en que se recopilaron las credenciales y la contención de los incidentes», agregó SentinelOne.

«Los dispositivos NGFW se han vuelto omnipresentes porque brindan sólidas capacidades de monitoreo de red a las organizaciones al integrar los controles de seguridad de un firewall con otras funciones de administración, como AD», agregó. «Sin embargo, estos dispositivos son objetivos de gran valor para actores con diversas motivaciones y niveles de habilidad, desde actores alineados con el estado que llevan a cabo actividades de espionaje hasta ataques con motivaciones financieras, como el ransomware».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.