La empresa de ciberseguridad Arctic Wolf advirtió sobre un «nuevo grupo de actividad maliciosa automatizada» que involucra cambios no autorizados en la configuración del firewall en los dispositivos Fortinet FortiGate.
La actividad, dijo, comenzó el 15 de enero de 2026, y agregó que comparte similitudes con una campaña de diciembre de 2025 en la que se registraron inicios de sesión SSO maliciosos en dispositivos FortiGate contra la cuenta de administrador de diferentes proveedores de alojamiento mediante la explotación de CVE-2025-59718 y CVE-2025-59719.
Ambas vulnerabilidades permiten la omisión no autenticada de la autenticación de inicio de sesión SSO a través de mensajes SAML diseñados cuando la función de inicio de sesión único (SSO) de FortiCloud está habilitada en los dispositivos afectados. Las deficiencias afectan a FortiOS, FortiWeb, FortiProxy y FortiSwitchManager.
«Esta actividad implicó la creación de cuentas genéricas destinadas a la persistencia, cambios de configuración que otorgan acceso VPN a esas cuentas, así como la exfiltración de configuraciones de firewall», dijo Arctic Wolf sobre el grupo de amenazas en desarrollo.
Específicamente, esto implica realizar inicios de sesión SSO maliciosos en una cuenta maliciosa «cloud-init@mail.io» desde cuatro direcciones IP diferentes, luego de lo cual los archivos de configuración del firewall se exportan a las mismas direcciones IP a través de la interfaz GUI. La lista de direcciones IP de origen se encuentra a continuación:
- 104.28.244(.)115
- 104.28.212(.)114
- 217.119.139(.)50
- 37.1.209(.)19
Además, se ha observado que los actores de amenazas crean cuentas secundarias, como «secadmin», «itadmin», «support», «backup», «remoteadmin» y «audit», para lograr persistencia.
«Todos los eventos anteriores tuvieron lugar con unos segundos de diferencia entre sí, lo que indica la posibilidad de actividad automatizada», añadió Arctic Wolf.
La divulgación coincide con una publicación en Reddit en la que varios usuarios informaron haber visto inicios de sesión SSO maliciosos en dispositivos FortiOS completamente parcheados, y un usuario afirmó que «el equipo de desarrolladores de Fortinet ha confirmado que la vulnerabilidad persiste o no está solucionada en la versión 7.4.10».
The Hacker News se comunicó con Fortinet para solicitar comentarios y actualizaremos la historia si recibimos una respuesta. Mientras tanto, se recomienda desactivar la configuración «admin-forticloud-sso-login».