Un corredor de acceso inicial de habla rusa lideró la operación FortiBleed, afectando a más de 430,000 firewalls FortiGate mediante el robo masivo de credenciales. Utilizaron herramientas automatizadas y sniffers para capturar datos de autenticación, impactando especialmente a pymes y sectores de servicios IT en EE. UU. e India. Esta campaña formó parte de un ataque multimarca más amplio que comprometió millones de cuentas en diversos dispositivos de red y servidores.





Se estima que un bróker de acceso inicial (IAB) de habla rusa, impulsado por el beneficio económico, está detrás de una operación de recolección de credenciales a gran escala conocida como FortiBleed, que ha afectado a más de 430.000 firewalls FortiGate en todo el mundo.

La campaña, activa desde febrero de 2026, consiste en recolectar listas de credenciales, buscar servicios expuestos, realizar ataques de fuerza bruta en sistemas accesibles y desplegar sniffers personalizados en los firewalls comprometidos.

"Una vez desplegados, estos sniffers capturan credenciales en texto claro y hashes del tráfico que pasa por los dispositivos comprometidos", afirmó SOCRadar [PDF] en un informe reciente. "Los actores luego descifran, validan y reutilizan las credenciales contra dominios de Active Directory y otros servicios expuestos".

La pieza central de la operación es una herramienta basada en Golang llamada FortigateSniffer, que aprovecha el comando de diagnóstico integrado de FortiOS -diagnose sniffer packet para capturar pasivamente el tráfico de autenticación de los dispositivos infectados. La herramienta está diseñada para monitorear el tráfico de 24 protocolos, analizar los datos de autenticación y extraer las credenciales.

Se sospecha que los atacantes pudieron haber buscado la ayuda de una plataforma de seguridad ofensiva nativa de IA de código abierto llamada CyberStrike para ayudar con algunas "partes del flujo de trabajo". Curiosamente, otro framework de código abierto llamado CyberStrikeAI fue utilizado en conexión con otra campaña de escaneo masivo automatizado dirigida a dispositivos FortiGate que Amazon Threat Intelligence expuso a principios de este año.

"La campaña muestra un fuerte enfoque en pequeñas y medianas empresas (PYMES) con menos de 200 empleados", explicó SOCRadar. "El actor se dirige a múltiples sectores y regiones, con un énfasis notable en Estados Unidos e India. El sector de servicios de TI parece ser un objetivo clave. Esta elección probablemente ayuda al actor a maximizar el acceso posterior, ya que los proveedores de servicios comprometidos pueden crear rutas de acceso a los entornos de sus clientes".

Quizás el hallazgo más interesante es que FortiBleed parece ser parte de una operación de acceso inicial multi-proveedor más amplia, orquestada no solo para atacar dispositivos Fortinet, sino también para vulnerar NAS de Synology, firewalls de Sophos, portales RDWeb, Citrix SSL-VPN y servidores MS-SQL utilizando fuerza bruta automatizada desde el 28 de febrero de 2026.



En total, se estima que los atacantes lanzaron no menos de 659 canales de recolección de credenciales el 31 de mayo y el 15 de junio de 2026, resultando en la identificación de más de 110 millones de credenciales. Esto incluyó:
- 14,8 millones de credenciales de Servicio de Usuario de Marcación de Autenticación Remota (RADIUS)
- 924.000 hashes NTLM
- 130.000 hashes Kerberos
- 89 millones de tokens de autenticación MySQL

La campaña fortibleed se desarrolla en cinco etapas

- Realizar un reconocimiento generalizado utilizando herramientas como Masscan y Shodan para identificar firewalls FortiGate vulnerables expuestos a internet, seguido del uso de una utilidad personalizada llamada FortiProbe-fast y GeoSplit para filtrar los sistemas FortiGate y agruparlos por país, respectivamente.
- Comprometer los dispositivos con un verificador de credenciales llamado "forticheck" que apunta específicamente al panel administrativo de FortiGate y al portal SSL-VPN, además de utilizar herramientas para obtener acceso SSH administrativo mediante relleno de credenciales (credential stuffing) y ataques de diccionario.
- Tras establecer el acceso vía SSH, se despliega FortigateSniffer para interceptar pasivamente el tráfico de autenticación en 24 protocolos (por ejemplo, TACACS+, Kerberos, RPC, SMB, LDAP, SMTP, FTP, Telnet, RDP, WinRM, MS-SQL, MySQL, PostgreSQL y RADIUS) utilizando comandos de diagnóstico nativos de FortiOS, haciendo posible recolectar credenciales en texto claro y hashes de contraseñas.
- Los hashes de las contraseñas se descifran utilizando Hashmat y Hashtopolis, orquestados por un bot de Telegram llamado HASHBOT, tras lo cual se utilizan para el movimiento lateral y la enumeración de Active Directory.
- Se exfiltran datos sensibles de carpetas compartidas de red, mientras que las cookies de sesión robadas se utilizan para mantener un acceso autenticado persistente.

"El grupo no trata a todos los objetivos por igual", dijo SOCRadar. "En su lugar, los objetivos se clasifican según su valor económico antes de asignar los recursos de explotación".

Además, el mecanismo de sniffing incluye un filtro de geovalla que restringe las operaciones a rangos de IP específicos, sin mencionar que limita la actividad entre las 7 a.m. y las 6 p.m., hora de Moscú. Según los datos capturados por SpyCloud, se dice que el ciclo de captura relacionado con FortiGate comenzó el 19 de mayo de 2026, y la infraestructura de descifrado de hashes se configuró hacia finales del mes.

"La operación se ejecuta en un flujo de ciclos de 300 minutos (cinco horas), con actualizaciones cada minuto", dijo Zenox. "En cada ciclo carga una lista de objetivos regionales [...] y valida con 1.000 hilos simultáneos, mostrando contadores de éxito, fallo, tiempo de espera y advertencia. En los primeros ciclos, la tasa de validación exitosa rondaba el 90%".

La empresa brasileña de ciberseguridad también señaló que encontró ciertos pares de nombres de usuario y contraseñas que se repetían en miles de direcciones IP distintas, lo que plantea la posibilidad de que las cuentas hayan sido plantadas por el atacante como un punto de entrada clandestino (backdoor).

Este desarrollo ocurre mientras una cuenta de habla rusa llamada "SantaAd" ha anunciado acceso a miles de dispositivos Fortinet por un precio inicial de 30.000 dólares, antes de aumentarlo a 60.000 dólares horas más tarde. Sin embargo, no está claro si esto tiene alguna conexión con la exposición de FortiBleed.

"El grupo de actores de amenazas detrás de 'FortiBleed' no solo atacaba las VPN de FortiGate", dijo SpyCloud. "En realidad, atacaban una gama de diferentes dispositivos expuestos a internet con una cadena de ataque estándar de 'disparar y rezar' que se basa principalmente en el escaneo masivo y la fuerza bruta de inicios de sesión".

Fuente:
THN