Los investigadores de ciberseguridad advierten sobre un «pico significativo» en el tráfico de fuerza bruta dirigida a los dispositivos VPN Fortinet SSL.
La actividad coordinada, por firma de inteligencia de amenazas Greynoise, se observó el 3 de agosto de 2025, con más de 780 direcciones IP únicas que participan en el esfuerzo.
Se han detectado hasta 56 direcciones IP únicas en las últimas 24 horas. Todas las direcciones IP se han clasificado como maliciosas, con los IP que se originan en Estados Unidos, Canadá, Rusia y los Países Bajos. Los objetivos de la actividad de fuerza bruta incluyen Estados Unidos, Hong Kong, Brasil, España y Japón.
«Críticamente, el tráfico observado también estaba apuntando a nuestro perfil de Fortios, sugiriendo la orientación deliberada y precisa de las VPN SSL de Fortinet», dijo Greynoise. «Esto no era oportunista, era una actividad enfocada».
La compañía también señaló que identificaba dos ondas de asalto distintas vistas antes y después del 5 de agosto: una, una actividad de fuerza bruta de larga duración ligada a una sola firma de TCP que permaneció relativamente estable con el tiempo, y dos, que implicaba una explosión de tráfico repentina y concentrada con una firma de TCP diferente.
«Si bien el tráfico del 3 de agosto se ha dirigido al perfil de Fortios, el tráfico se huele con las huellas dactilares con TCP y las firmas de los clientes, una meta firma, desde el 5 de agosto en adelante no llegó a Fortios», señaló la compañía. «En cambio, se dirigía constantemente a nuestro Fortimanager».
«Esto indicó un cambio en el comportamiento del atacante, potencialmente la misma infraestructura o conjunto de herramientas que giran a un nuevo servicio orientado a Fortinet».
Además de eso, un examen más profundo de los datos históricos asociados con la huella digital posterior al 5 de agosto ha descubierto un aumento anterior en junio con una firma de cliente única que resolvió un dispositivo FortiGate en un bloque ISP residencial administrado por Pilot Fiber Inc.
Esto ha planteado la posibilidad de que las herramientas de fuerza bruta se probaron o se lanzaran inicialmente desde una red doméstica. Una hipótesis alternativa es el uso de un poder residencial.
El desarrollo viene en el contexto de los hallazgos de que los picos en actividades maliciosas a menudo son seguidos por la divulgación de una nueva CVE que afecta la misma tecnología en seis semanas.
«Estos patrones eran exclusivos de las tecnologías de Edge Enterprise como VPN, firewalls y herramientas de acceso remoto, los mismos tipos de sistemas cada vez más atacados por actores de amenaza avanzada», señaló la compañía en su informe de señales de advertencia temprana publicadas a fines del mes pasado.
Hacker News se ha comunicado con Fortinet para hacer más comentarios, y actualizaremos si recibimos noticias.