Los actores de amenazas continúan explotando una falla de seguridad crítica, ahora parcheada, que afecta las implementaciones de FortiClient Endpoint Management Server (EMS) para entregar malware de robo de credenciales.
«La campaña abusó de la infraestructura confiable de administración de puntos finales para distribuir malware a través de puntos finales administrados», dijo Arctic Wolf. «Los actores de amenazas disfrazaron la carga útil del ladrón de credenciales como una actualización del endpoint de Fortinet, ejecutando silenciosamente el ejecutable malicioso a través de PowerShell».
La actividad, observada por la empresa de ciberseguridad en mayo de 2026, implica la explotación de CVE-2026-35616 (puntuación CVSS: 9,1), una omisión crítica de acceso a la API de autenticación previa que conduce a una escalada de privilegios. Fortinet solucionó el problema en FortiClient EMS 7.4.7 y versiones posteriores.
A un compromiso exitoso le sigue que el actor de la amenaza tome medidas para modificar las configuraciones para aplazar los recordatorios de actualización del firmware, así como también modifique la configuración del perfil de acceso remoto y la política de terminal para insertar un script malicioso para su ejecución en dispositivos de terminal.
«El patrón de ejecución observado sugiere que los actores de amenazas utilizaron la propia vía de administración de FortiClient para enviar comandos maliciosos de PowerShell a los puntos finales administrados de una manera que se asemejaba a operaciones de administración legítimas», dijo Arctic Wolf.
«Una vez que los actores de la amenaza tuvieron una ruta para modificar la configuración administrada por EMS, cada punto final administrado se convirtió en un objetivo de ejecución potencial sin requerir una ruta de intrusión separada para cada dispositivo».
Además, se descubrió que el ataque aprovecha «fortitray.exe», un ejecutable legítimo asociado con FortiClient para iniciar un archivo de script .cmd usando «cmd.exe». El script .cmd está diseñado para invocar un script de PowerShell codificado en Base64 que, a su vez, es responsable de descargar una carga maliciosa, ejecutarla y filtrar los resultados a «83.138.53(.)110» a través de una solicitud HTTP POST.
El ejecutable, llamado «FortiEndpoint_Patch.exe», se hace pasar por una actualización, pero, en realidad, es un ladrón de información de Windows no reportado anteriormente, capaz de recopilar datos confidenciales, como contraseñas, cookies y detalles de autocompletar, como información de tarjetas de crédito, direcciones y números de teléfono, de navegadores basados en Chromium y Gecko.
Los datos se escriben en un archivo de registro y se guardan en el directorio ProgramData. Vale la pena señalar que el ladrón carece de capacidades de exfiltración basadas en la red. Es el script de PowerShell el que transmite los datos capturados a la infraestructura controlada por el atacante.
«Al evitar la autenticación API e interactuar con la funcionalidad EMS en un contexto privilegiado, los actores de amenazas pudieron modificar la configuración de administración y enviar scripts maliciosos para su ejecución en puntos finales administrados», dijo Arctic Wolf.
«Las cookies de sesión y las credenciales guardadas del navegador pueden proporcionar a los actores de amenazas un acceso posterior a servicios en la nube, aplicaciones internas y otros recursos autenticados, incluidos los casos en los que la reutilización de sesiones puede eludir las indicaciones de MFA».