Se ha observado que un actor de amenazas de habla rusa y con motivación financiera aprovecha los servicios comerciales de inteligencia artificial generativa (IA) para comprometer más de 600 dispositivos FortiGate ubicados en 55 países.
Esto es según nuevos hallazgos de Amazon Threat Intelligence, que dijo que observó la actividad entre el 11 de enero y el 18 de febrero de 2026.
«No se observó explotación de las vulnerabilidades de FortiGate; en cambio, esta campaña tuvo éxito al explotar puertos de administración expuestos y credenciales débiles con autenticación de un solo factor, brechas de seguridad fundamentales que la IA ayudó a un actor poco sofisticado a explotar a escala», dijo en un informe CJ Moses, director de seguridad de la información (CISO) de Amazon Integrated Security.
El gigante tecnológico describió que el actor de la amenaza tiene capacidades técnicas limitadas, una limitación que superó al confiar en múltiples herramientas comerciales de IA generativa para implementar varias fases del ciclo de ataque, como el desarrollo de herramientas, la planificación de ataques y la generación de comandos.
Si bien una herramienta de IA sirvió como columna vertebral principal de la operación, los atacantes también confiaron en una segunda herramienta de IA como respaldo para ayudar a pivotar dentro de una red comprometida específica. Los nombres de las herramientas de inteligencia artificial no fueron revelados.
Se considera que el actor de la amenaza está impulsado por ganancias financieras y no está asociado con ninguna amenaza persistente avanzada (APT) con recursos patrocinados por el estado. Como destacó recientemente Google, los actores de amenazas adoptan cada vez más herramientas de inteligencia artificial generativa para escalar y acelerar sus operaciones, incluso si no las equipan con usos novedosos de la tecnología.
En todo caso, el surgimiento de herramientas de inteligencia artificial ilustra cómo capacidades que alguna vez estuvieron fuera del alcance de los actores de amenazas novatos o con desafíos técnicos se están volviendo cada vez más factibles, lo que reduce aún más la barrera de entrada para el delito cibernético y les permite idear metodologías de ataque.
«Es probable que se trate de un individuo o un grupo pequeño con motivación financiera que, a través del aumento de la IA, logró una escala operativa que anteriormente habría requerido un equipo significativamente más grande y más capacitado», dijo Moses.
La investigación de Amazon sobre la actividad del actor de amenazas ha revelado que comprometieron con éxito los entornos de Active Directory de varias organizaciones, extrajeron bases de datos de credenciales completas e incluso atacaron la infraestructura de respaldo, probablemente en un período previo a la implementación de ransomware.
Lo interesante aquí es que en lugar de idear formas de persistir en entornos reforzados o en aquellos que habían empleado controles de seguridad sofisticados, el actor de la amenaza optó por abandonar el objetivo por completo y pasar a una víctima relativamente más suave. Esto indica el uso de la IA como una forma de cerrar la brecha de habilidades para obtener ganancias fáciles.
Amazon dijo que identificó una infraestructura de acceso público administrada por los atacantes que alojaba varios artefactos pertinentes a la campaña. Esto incluía planes de ataque generados por IA, configuraciones de víctimas y código fuente para herramientas personalizadas. Todo el modus operandi es similar a una «línea de montaje impulsada por IA para delitos cibernéticos», añadió la empresa.
En esencia, los ataques permitieron al actor de amenazas violar los dispositivos FortiGate, lo que le permitió extraer configuraciones completas del dispositivo que, a su vez, hicieron posible obtener credenciales, información de topología de red e información de configuración del dispositivo.
Esto implicó un escaneo sistemático de las interfaces de administración de FortiGate expuestas a Internet a través de los puertos 443, 8443, 10443 y 4443, seguido de intentos de autenticación utilizando credenciales comúnmente reutilizadas. La actividad fue independiente del sector, lo que indica un escaneo masivo automatizado en busca de electrodomésticos vulnerables. Los escaneos se originaron en la dirección IP 212.11.64(.)250.
Luego, los datos robados se utilizaron para profundizar en las redes específicas y realizar actividades posteriores a la explotación, incluido el reconocimiento para el escaneo de vulnerabilidades utilizando Nuclei, el compromiso de Active Directory, la recolección de credenciales y los esfuerzos para acceder a la infraestructura de respaldo que se alinean con las operaciones típicas de ransomware.
Los datos recopilados por Amazon muestran que la actividad de escaneo resultó en un compromiso a nivel organizacional, lo que provocó que se accediera a múltiples dispositivos FortiGate que pertenecen a la misma entidad. Los grupos comprometidos se han detectado en el sur de Asia, América Latina, el Caribe, África occidental, el norte de Europa y el sudeste asiático.
«Después del acceso VPN a las redes de las víctimas, el actor de amenazas implementa una herramienta de reconocimiento personalizada, con diferentes versiones escritas tanto en Go como en Python», dijo la compañía.
«El análisis del código fuente revela indicadores claros de desarrollo asistido por IA: comentarios redundantes que simplemente reafirman los nombres de las funciones, arquitectura simplista con una inversión desproporcionada en el formato sobre la funcionalidad, análisis JSON ingenuo mediante coincidencia de cadenas en lugar de una deserialización adecuada, y ajustes de compatibilidad para lenguajes integrados con resguardos de documentación vacíos».
Algunos de los otros pasos realizados por el actor de amenazas después de la fase de reconocimiento se enumeran a continuación:
- Logre comprometer el dominio mediante ataques DCSync.
- Muévase lateralmente a través de la red mediante ataques pass-the-hash/pass-the-ticket, ataques de retransmisión NTLM y ejecución remota de comandos en hosts de Windows.
- Apunte a los servidores Veeam Backup & Replication para implementar herramientas y programas de recolección de credenciales destinados a explotar vulnerabilidades conocidas de Veeam (por ejemplo, CVE-2023-27532 y CVE-2024-40711).
Otro hallazgo digno de mención es el patrón del actor de amenazas de encontrarse repetidamente con fallas al intentar explotar cualquier cosa más allá de las «rutas de ataque automatizadas más sencillas», y su propia documentación registra que los objetivos habían parcheado los servicios, cerrado los puertos requeridos o no tenían vectores de explotación vulnerables.
Dado que los dispositivos Fortinet se están convirtiendo en un objetivo atractivo para los actores de amenazas, es esencial que las organizaciones se aseguren de que las interfaces de administración no estén expuestas a Internet, cambien las credenciales comunes y predeterminadas, roten las credenciales de usuario SSL-VPN, implementen autenticación multifactor para acceso administrativo y VPN, y realicen auditorías para cuentas o conexiones administrativas no autorizadas.
También es esencial aislar los servidores de respaldo del acceso general a la red, garantizar que todos los programas de software estén actualizados y monitorear la exposición no deseada de la red.
«Como esperamos que esta tendencia continúe en 2026, las organizaciones deben anticipar que la actividad de amenazas aumentada por la IA seguirá creciendo en volumen por parte de adversarios calificados y no calificados», dijo Moses. «Los fundamentos defensivos sólidos siguen siendo la contramedida más eficaz: gestión de parches para dispositivos perimetrales, higiene de credenciales, segmentación de red y detección sólida de indicadores posteriores a la explotación».