Se cree que un intermediario de acceso inicial (IAB) de habla rusa, motivado
por el lucro, está detrás de una operación de robo de credenciales a gran
escala conocida como
FortiBleed, que ha afectado a más de 430.000 firewalls FortiGate en todo el mundo.
La campaña, activa desde febrero de 2026, consiste en recopilar listas de
credenciales, buscar servicios expuestos, realizar ataques de fuerza bruta
contra sistemas accesibles e implementar analizadores de red personalizados en
los firewalls comprometidos.
«Una vez implementados, estos analizadores capturan credenciales en texto
plano y cifradas del tráfico que pasa por los dispositivos comprometidos»,
afirma SOCRadar en un informe reciente.
«Los atacantes luego descifran, validan y reutilizan las credenciales
contra dominios de Active Directory y otros servicios expuestos».
La clave de la operación es una herramienta basada en Go llamada
FortigateSniffer, que aprovecha el comando de diagnóstico integrado de
FortiOS, `-diagnose sniffer packet`, para capturar pasivamente el
tráfico de autenticación de los dispositivos infectados. La herramienta está
diseñada para monitorizar el tráfico a través de 24 protocolos, analizar los
datos de autenticación y extraer las credenciales.
Se sospecha que los ciberdelincuentes podrían haber recurrido a una plataforma
de seguridad ofensiva de código abierto basada en IA, denominada
CyberStrike, para optimizar algunas partes del proceso. Curiosamente, otro marco de
código abierto, CyberStrikeAI, se utilizó en relación con
otra campaña de escaneo masivo automatizado dirigida a dispositivos
FortiGate, que
Amazon Threat Intelligence reveló
a principios de este año.
La campaña muestra un fuerte enfoque en las pequeñas y medianas empresas
(pymes) con menos de 200 empleados. El atacante se dirige a múltiples sectores
y regiones, con especial énfasis en Estados Unidos e India. El sector de
servicios de TI parece ser un objetivo clave. Esta elección de objetivos
probablemente ayuda al atacante a maximizar el acceso posterior, ya que los
proveedores de servicios comprometidos pueden crear vías de acceso a los
entornos de los clientes.
Quizás el hallazgo más interesante sea que FortiBleed parece formar parte
de una operación de acceso inicial más amplia y multivendedor, orquestada no
solo para atacar dispositivos Fortinet, sino también para vulnerar NAS de
Synology, firewalls de Sophos, portales RDWeb, VPN SSL de Citrix y
servidores MS-SQL mediante ataques de fuerza bruta automatizados desde el 28
de febrero de 2026.
En total, se estima que
los atacantes lanzaron al menos 659 campañas de robo de credenciales
entre el 31 de mayo y el 15 de junio de 2026, lo que resultó en la
identificación de más de 110 millones de credenciales. Esto incluyó:
-
14,8 millones de credenciales RADIUS (Servicio de Autenticación Remota de
Usuarios por Marcación) - 924.000 hashes NTLM
- 130.000 hashes Kerberos
- 89 millones de tokens de autenticación MySQL
La campaña FortiBleed se desarrolla en cinco etapas:
-
Primero, se realiza un reconocimiento exhaustivo utilizando herramientas
como Masscan y Shodan para identificar firewalls FortiGate vulnerables con
acceso a internet. Posteriormente, se utilizan una utilidad personalizada
llamada FortiProbe-fast y GeoSplit para filtrar los sistemas FortiGate y
agruparlos por país, respectivamente. -
Comprometer los dispositivos con un verificador de credenciales llamado
«forticheck» que ataca específicamente el panel administrativo y el
portal SSL-VPN de FortiGate, además de utilizar herramientas para obtener
acceso administrativo SSH mediante ataques de relleno de credenciales y de
diccionario. -
Tras establecer el acceso por SSH, FortigateSniffer se implementa para
interceptar pasivamente el tráfico de autenticación en 24 protocolos (p.
ej., TACACS+, Kerberos, RPC, SMB, LDAP, SMTP, FTP, Telnet, RDP, WinRM,
MS-SQL, MySQL, PostgreSQL y RADIUS) mediante comandos de diagnóstico nativos
de FortiOS, lo que permite obtener credenciales en texto plano y hashes de
contraseñas. -
Los hashes de contraseñas se descifran con Hashmat y Hashtopolis, y se
procesan mediante un bot de Telegram llamado HASHBOT. Posteriormente, se
utilizan para el movimiento lateral y la enumeración de Active Directory. -
Se extraen datos confidenciales de los recursos compartidos de red, mientras
que las cookies de sesión robadas se utilizan para mantener un acceso
persistente y autenticado.
«El grupo no trata a todos los objetivos por igual», dijo SOCRadar.
«En cambio, los objetivos se clasifican según su valor económico antes de
asignar los recursos para su explotación».
Además, el mecanismo de rastreo incluye un filtro de geolocalización que
restringe las operaciones a rangos de IP específicos, limitando la actividad
al horario comprendido entre las 7:00 y las 18:00, hora de Moscú. Según
datos capturados por SpyCloud, el ciclo de captura relacionado con FortiGate habría comenzado el 19 de
mayo de 2026, y la infraestructura de descifrado de hashes se instaló a
finales de mes.
«La operación se ejecuta en ciclos de 300 minutos (cinco horas), con
actualizaciones de estado cada minuto», declaró Zenox.
«En cada ciclo, carga una lista de objetivos regionales […] y realiza la
validación con 1.000 hilos simultáneos, mostrando contadores de éxito,
fallo, tiempo de espera agotado y advertencia. En los primeros ciclos, la
tasa de validación exitosa rondaba el 90%».
La empresa brasileña de ciberseguridad también informó haber encontrado
ciertas combinaciones de nombre de usuario y contraseña repetidas en miles de
direcciones IP distintas, lo que plantea la posibilidad de que el atacante
haya creado estas cuentas como puerta trasera clandestina.
Este hecho se produce después de que una cuenta en ruso llamada
«SantaAd»
anunciara el
acceso a miles de dispositivos Fortinet
por un precio inicial de 30.000 dólares, que horas después aumentó a 60.000
dólares. Sin embargo, no está claro si esto tiene alguna relación con la
filtración de FortiBleed.
«El grupo de ciberdelincuentes responsable de ‘FortiBleed’ no solo atacaba
las VPN de FortiGate», declaró SpyCloud.
«En realidad, atacaban una variedad de dispositivos conectados a internet
con una cadena de ataques estándar de tipo ‘bombardeo masivo’ que se basa
principalmente en escaneos masivos y ataques de fuerza bruta para obtener
accesos».
Fuente:
THN