Se considera que un corredor de acceso inicial (IAB) de habla rusa impulsado por ganancias financieras está detrás de una operación de recolección de credenciales a gran escala conocida como FortiBleed que se ha dirigido a más de 430.000 firewalls FortiGate en todo el mundo.
La campaña, activa desde febrero de 2026, implica recopilar listas de credenciales, buscar servicios expuestos, forzar sistemas accesibles por fuerza bruta e implementar rastreadores personalizados en firewalls comprometidos.
“Una vez implementados, estos rastreadores capturan texto sin cifrar y credenciales hash del tráfico que pasa a través de dispositivos comprometidos”, dijo SOCRadar (PDF) en un informe reciente. “Luego, los actores descifran, validan y reutilizan las credenciales en dominios de Active Directory y otros servicios expuestos”.
Central para la operación es una herramienta basada en Golang llamada FortigateSniffer que aprovecha el comando de diagnóstico integrado de FortiOS: diagnosticar el paquete de rastreo para capturar pasivamente el tráfico de autenticación de los dispositivos infectados. La herramienta está diseñada para monitorear el tráfico a través de 24 protocolos, analizar datos de autenticación y extraer las credenciales.
Se sospecha que los actores de amenazas pueden haber buscado la ayuda de una plataforma de seguridad ofensiva nativa de IA de código abierto denominada CyberStrike para ayudar con algunas “partes del flujo de trabajo”. Curiosamente, se utilizó otro marco de código abierto llamado CyberStrikeAI en relación con otra campaña de escaneo masivo automatizado dirigida a dispositivos FortiGate que Amazon Threat Intelligence expuso a principios de este año.
“La campaña muestra un fuerte enfoque en las pequeñas y medianas empresas (PYMES) con menos de 200 empleados”, explicó SOCRadar. “El actor apunta a múltiples sectores y regiones, con notable énfasis en los Estados Unidos y la India. El sector de servicios de TI parece ser un objetivo clave. Esta elección de orientación probablemente ayude al actor a maximizar el acceso posterior, ya que los proveedores de servicios comprometidos pueden crear rutas de acceso a los entornos de los clientes”.
Quizás el hallazgo más interesante es que FortiBleed parece ser parte de una operación de acceso inicial más amplia y de múltiples proveedores que está orquestada no solo para apuntar a dispositivos Fortinet, sino también para violar Synology NAS, firewalls de Sophos, portales RDWeb, Citrix SSL-VPN y servidores MS-SQL utilizando fuerza bruta automatizada desde el 28 de febrero de 2026.
En total, se estima que los atacantes lanzaron no menos de 659 canales de recolección de credenciales el 31 de mayo y el 15 de junio de 2026, lo que resultó en la identificación de más de 110 millones de credenciales. Esto incluyó –
- 14,8 millones de credenciales del Servicio de autenticación remota telefónica de usuario (RADIUS)
- 924.000 hashes NTLM
- 130.000 hash Kerberos
- 89 millones de tokens de autenticación MySQL
La campaña FortiBleed se desarrolla en cinco etapas:
- Realice un reconocimiento generalizado utilizando herramientas como Masscan y Shodan para identificar firewalls FortiGate vulnerables orientados a Internet, seguido de una utilidad personalizada denominada FortiProbe-fast y GeoSplit para filtrar los sistemas FortiGate y agruparlos por país, respectivamente.
- Comprometa los dispositivos con un verificador de credenciales llamado “forticheck” que apunta específicamente al panel administrativo de FortiGate y al portal SSL-VPN, además de usar herramientas para obtener acceso SSH administrativo mediante ataques de diccionario y relleno de credenciales.
- Al establecer el acceso a través de SSH, FortigateSniffer se implementa para interceptar pasivamente el tráfico de autenticación a través de 24 protocolos (por ejemplo, TACACS+, Kerberos, RPC, SMB, LDAP, SMTP, FTP, Telnet, RDP, WinRM, MS-SQL, MySQL, PostgreSQL y RADIUS) utilizando comandos de diagnóstico nativos de FortiOS, lo que permite recopilar credenciales de texto sin cifrar y hashes de contraseñas.
- Los hashes de contraseñas se descifran usando Hashmat y Hashtopolis, y son orquestados por un bot de Telegram llamado HASHBOT, después de lo cual se usan para el movimiento lateral y la enumeración de Active Directory.
- Los datos confidenciales de los recursos compartidos de la red se extraen mientras que las cookies de sesión robadas se utilizan para mantener un acceso persistente y autenticado.
“El grupo no trata a todos los objetivos por igual”, dijo SOCRadar. “En cambio, los objetivos se clasifican según su valor económico antes de asignar los recursos de explotación”.
Es más, el mecanismo de rastreo incluye un filtro de geocerca que restringe las operaciones a rangos de IP específicos, sin mencionar que limita la actividad entre las 7 am y las 6 pm, hora de Moscú. Según los datos capturados por SpyCloud, se dice que el ciclo de captura relacionado con FortiGate comenzó el 19 de mayo de 2026, y la infraestructura de descifrado de hash se instaló hacia finales de mes.
“La operación se ejecuta en ciclos de 300 minutos (cinco horas), con estado cada minuto”, dijo Zenox. “En cada ciclo, carga una lista de objetivos regionales (…) y valida con 1.000 subprocesos simultáneos, mostrando contadores de éxito, fracaso, tiempo de espera y advertencia. En los primeros ciclos, la tasa de validación exitosa rondaba el 90%”.
La compañía brasileña de ciberseguridad también dijo que encontró ciertos pares de nombre de usuario y contraseña repetidos en miles de direcciones IP distintas, lo que plantea la posibilidad de que el atacante haya colocado las cuentas como un punto de entrada clandestino.
El desarrollo se produce cuando una cuenta de habla rusa llamada “SantaAd” ha anunciado el acceso a miles de dispositivos Fortinet por un precio inicial de 30.000 dólares, antes de aumentarlo a 60.000 dólares horas más tarde. Sin embargo, no está claro si esto tiene alguna conexión con la exposición a FortiBleed.
“El grupo de actores de amenazas detrás de ‘FortiBleed’ no solo apuntaba a las VPN FortiGate”, dijo SpyCloud. “En realidad, estaban apuntando a una variedad de diferentes dispositivos conectados a Internet con una cadena de ataque estándar de rociar y rezar que se basa principalmente en escaneos masivos e inicios de sesión por fuerza bruta”.