Se ha observado a un actor de amenazas de habla rusa y con motivaciones financieras que aprovecha los servicios comerciales de inteligencia artificial generativa (IA) para comprometer más de 600 dispositivos FortiGate ubicados en 55 países.
Eso es según los nuevos hallazgos de Amazon Threat Intelligence, que afirma haber observado la actividad entre el 11 de enero y el 18 de febrero de 2026.
«No se observó ninguna explotación de las vulnerabilidades de FortiGate; en cambio, esta campaña tuvo éxito al aprovechar los puertos de administración expuestos y las credenciales débiles con la autenticación de un solo factor, brechas de seguridad fundamentales que la IA ayudó a un actor poco sofisticado a explotar a gran escala», dijo CJ Moses, director de seguridad de la información (CISO) de Amazon Integrated Security, dijo en un informe.
El gigante tecnológico describió al actor de amenazas diciendo que tenía capacidades técnicas limitadas, una limitación que superó al confiar en múltiples herramientas comerciales de IA generativa para implementar varias fases del ciclo de ataque, como el desarrollo de herramientas, la planificación de ataques y la generación de comandos.
Si bien una herramienta de inteligencia artificial sirvió como la columna vertebral principal de la operación, los atacantes también confiaron en una segunda herramienta de inteligencia artificial como alternativa para ayudar a girar dentro de una red comprometida específica. No se dieron a conocer los nombres de las herramientas de inteligencia artificial.
Se considera que el actor de la amenaza está motivado por el beneficio financiero y no está asociado a ninguna amenaza persistente avanzada (APT) con recursos patrocinados por el estado. Tan recientemente resaltado según Google, los actores de amenazas están adoptando cada vez más herramientas de IA generativa para escalar y acelerar sus operaciones, incluso si no las equipan con usos novedosos de la tecnología.
En todo caso, la aparición de herramientas de inteligencia artificial ilustra cómo las capacidades que antes estaban prohibidas para los actores de amenazas novatos o con problemas técnicos son cada vez más factibles, lo que reduce aún más la barrera de entrada para la ciberdelincuencia y les permite idear metodologías de ataque.
adsense«Es probable que se trate de una persona o un grupo pequeño con motivaciones financieras que, mediante el aumento de la IA, lograron una escala operativa que anteriormente habría requerido un equipo significativamente más grande y capacitado», dijo Moses.
La investigación de Amazon sobre la actividad del actor de amenazas ha revelado que han comprometido con éxito los entornos de Active Directory de varias organizaciones, han extraído bases de datos de credenciales completas e incluso han atacado la infraestructura de respaldo, probablemente antes del despliegue del ransomware.
Lo interesante aquí es que, en lugar de idear formas de persistir en entornos endurecidos o en aquellos que habían empleado controles de seguridad sofisticados, el actor de la amenaza optó por abandonar el objetivo por completo y pasar a una víctima relativamente más suave. Esto indica el uso de la IA como una forma de reducir su déficit de habilidades y así poder elegir con facilidad.
Amazon dijo que identificó una infraestructura de acceso público gestionada por los atacantes que alojaba varios artefactos pertinentes a la campaña. Esto incluía planes de ataque generados por IA, configuraciones de víctimas y código fuente para herramientas personalizadas. Todo el modus operandi es similar al de una «línea de ensamblaje impulsada por la inteligencia artificial para la ciberdelincuencia», añadió la empresa.
En esencia, los ataques permitieron al actor de la amenaza violar los dispositivos FortiGate, lo que le permitió extraer configuraciones completas de los dispositivos que, a su vez, permitieron recopilar credenciales, información de topología de red e información de configuración de dispositivos.
Esto implicó el escaneo sistemático de las interfaces de administración de FortiGate expuestas a Internet en los puertos 443, 8443, 10443 y 4443, seguido de intentos de autenticación con credenciales que se reutilizan con frecuencia. La actividad no dependía del sector, lo que implicaba un escaneo masivo automatizado en busca de dispositivos vulnerables. Los escaneos se originaron en la dirección IP 212,11,64 [.] 250 .
Luego, los datos robados se utilizaron para profundizar en las redes objetivo y llevar a cabo actividades posteriores a la explotación, como el reconocimiento para detectar vulnerabilidades mediante Nuclei, el compromiso de Active Directory, la recopilación de credenciales y los esfuerzos para acceder a una infraestructura de respaldo que se alinee con las operaciones típicas de ransomware.
Los datos recopilados por Amazon muestran que la actividad de escaneo resultó en un compromiso a nivel organizacional, lo que provocó el acceso a varios dispositivos FortiGate que pertenecían a la misma entidad. Los clústeres comprometidos se han detectado en el sur de Asia, América Latina, el Caribe, África occidental, el norte de Europa y el sudeste asiático.
«Tras el acceso mediante VPN a las redes de las víctimas, el actor de la amenaza despliega una herramienta de reconocimiento personalizada, con diferentes versiones escritas tanto en Go como en Python», afirma la empresa.
«El análisis del código fuente revela indicadores claros del desarrollo asistido por la IA: comentarios redundantes que se limitan a reformular los nombres de las funciones, una arquitectura simplista con una inversión desproporcionada en el formato en lugar de en la funcionalidad, un análisis ingenuo de JSON mediante la coincidencia de cadenas en lugar de una deserialización adecuada y límites de compatibilidad para los complementos de lenguaje con archivos de documentación vacíos».
Algunas de las otras medidas adoptadas por el actor de la amenaza tras la fase de reconocimiento se enumeran a continuación -
- Consiga comprometer su dominio mediante Ataques de DCSync .
- Muévase lateralmente por la red mediante ataques de pase el hash o pase el ticket, ataques de retransmisión NTLM y ejecución remota de comandos en los hosts de Windows.
- Diríjase a los servidores Veeam Backup & Replication para implementar herramientas y programas de recolección de credenciales destinados a aprovechar las vulnerabilidades conocidas de Veeam (p. ej., CVE-2023-27532 y CVE-2024-40711 ).
Otro hallazgo digno de mención es el patrón de los actores de amenazas de fallar repetidamente cuando intentan explotar cualquier cosa que vaya más allá de las «rutas de ataque automatizadas más sencillas», y su propia documentación registra que los objetivos habían parcheado los servicios, cerrado los puertos requeridos o no tenían vectores de explotación vulnerables.
Con los electrodomésticos Fortinet convirtiéndose en un objetivo atractivo para los actores de amenazas , es esencial que las organizaciones se aseguren de que las interfaces de administración no estén expuestas a Internet, cambien las credenciales predeterminadas y comunes, roten las credenciales de usuario de SSL-VPN, implementen la autenticación multifactorial para el acceso administrativo y de VPN y auditen las cuentas o conexiones administrativas no autorizadas.
También es esencial aislar los servidores de respaldo del acceso general a la red, garantizar que todos los programas de software estén actualizados y supervisar la exposición no deseada a la red.
«Como esperamos que esta tendencia continúe en 2026, las organizaciones deben anticipar que la actividad de amenazas aumentadas por la IA seguirá aumentando en volumen tanto por parte de adversarios cualificados como no cualificados», afirma Moses. «La contramedida más eficaz sigue siendo la defensa sólida: la gestión de parches para los dispositivos perimetrales, la higiene de las credenciales, la segmentación de la red y la detección sólida de los indicadores posteriores a la explotación».
Post generado automáticamente, fuente oficial de la información: THEHACKERNEWS