Source et contexte — AWS Security Blog (CJ Moses, Amazon Threat Intelligence) publie une analyse d’une campagne observée du 11 janvier au 18 février 2026 : un acteur russophone à motivation financière a compromis plus de 600 appareils FortiGate dans plus de 55 pays. Aucune vulnérabilité FortiGate n’a été exploitée ; les intrusions reposent sur des interfaces de gestion exposées, des identifiants faibles et l’absence de MFA, avec une forte dépendance à des services d’IA générative commerciaux. L’acteur a compromis des environnements Active Directory, exfiltré des bases d’identifiants et ciblé les infrastructures de sauvegarde (pré-ransomware). L’infrastructure AWS n’a pas été impliquée.

Vue d’ensemble de la campagne

  • Accès initial par abus d’identifiants sur les interfaces de gestion FortiGate exposées (ports 443, 8443, 10443, 4443), puis extraction des configurations pour récupérer des secrets et la topologie réseau.
  • Les fichiers de configuration FortiGate contenaient notamment des identifiants SSL‑VPN (mots de passe récupérables), des comptes administratifs, la topologie et les politiques, ainsi que des configurations IPsec. Des scripts Python assistés par IA ont servi à parser, décrypter et organiser ces données.
  • Ciblage opportuniste mondial, avec concentrations en Asie du Sud, Amérique latine, Caraïbes, Afrique de l’Ouest, Europe du Nord et Asie du Sud‑Est.

Outils et post‑exploitation 🧰

  • Outil de reconnaissance maison (versions Go et Python) aux marqueurs de génération par IA : architecture simpliste, commentaires redondants, parsing JSON naïf. Workflow automatisé après VPN : ingestion des routes, classification des réseaux, scan de services via gogo, détection SMB et contrôleurs de domaine, et scans Nuclei pour prioriser les cibles HTTP.
  • Méthodologie interne : compromission de domaine via Meterpreter et le module mimikatz (attaques DCSync) pour extraire les hachages NTLM d’Active Directory ; mouvements latéraux par pass‑the‑hash, pass‑the‑ticket, relais NTLM et exécution distante Windows ; ciblage de Veeam Backup & Replication (extraction d’identifiants avec scripts PowerShell, outils compilés de déchiffrement et tentatives d’exploitation de vulnérabilités Veeam). Plusieurs tentatives d’exploitation spécifiques ont échoué lorsque les cibles étaient durcies ou à jour (ex. références à CVE‑2019‑7192, CVE‑2023‑27532, CVE‑2024‑40711), l’acteur passant alors à des cibles plus faibles.

L’IA comme multiplicateur de force 🤖

  • Utilisation de plusieurs services LLM commerciaux à toutes les phases : génération de plans d’attaque détaillés (étapes, taux de succès attendus, estimations de temps, arbres de tâches), assistance au développement d’outils et au pilotage d’opérations, et aide au pivot lorsque bloqué. L’acteur a soumis des topologies internes complètes (adresses IP, hôtes, identifiants, services) pour obtenir des plans pas‑à‑pas.
  • Grand volume de scripts multilingages (parsers, extracteurs d’identifiants, automatisation VPN, orchestration de scans, tableaux de bord d’agrégation) présentant des marqueurs d’IA. Malgré cette échelle, l’acteur montre des limites pour compiler des exploits, déboguer et s’adapter hors scénario.

Évaluation et réponse d’Amazon 🔎

  • Profil : motivation financière ; langue russe dans la documentation ; compétence faible à moyenne mais fortement augmentée par l’IA ; opérations larges mais post‑exploitation peu profonde ; OPSEC insuffisante (plans, identifiants et données victimes stockés en clair).
  • Réponse : partage d’IoC et d’informations actionnables avec des partenaires et coordination sectorielle pour réduire l’efficacité de la campagne. Le billet fournit aussi des recommandations défensives axées sur les fondamentaux (audit FortiGate, hygiène des identifiants, détection post‑exploitation, durcissement des sauvegardes, et conseils spécifiques AWS).

IOCs

  • 212[.]11[.]64[.]250 (infrastructure de scan et d’exploitation) — First seen: 2026‑01‑11, Last seen: 2026‑02‑18
  • 185[.]196[.]11[.]225 (infrastructure d’opérations) — First seen: 2026‑01‑11, Last seen: 2026‑02‑18

TTPs (extraits marquants) 🧭

  • Accès initial: interfaces de gestion FortiGate exposées sur 443/8443/10443/4443 ; abus d’identifiants réutilisés/faibles ; authentification simple facteur.
  • Collecte/exfiltration: extraction et déchiffrement de configurations FortiGate (identifiants SSL‑VPN, admin, topologie, politiques, IPsec) via scripts Python assistés par IA.
  • Reconnaissance: port‑scanning avec gogo ; détection SMB et DC ; scans Nuclei ; classification automatique des réseaux.
  • Mouvement latéral/élevation: DCSync via mimikatz/Meterpreter ; pass‑the‑hash, pass‑the‑ticket ; relais NTLM ; exécution distante Windows ; artefacts LLMNR/NBT‑NS.
  • Ciblage sauvegardes: Veeam Backup & Replication (extraction d’identifiants, tentatives d’exploitation de vulnérabilités Veeam).
  • Dépendance IA: plans d’attaque, génération de commandes et d’outils, utilisation multi‑fournisseurs LLM ; échec fréquent hors chemins automatisés.

Recommandations mentionnées (extrait) 🛡️

  • Audit FortiGate: retirer l’exposition Internet des interfaces de management, restreindre par IP/bastion, changer/rotater identifiants (admin et SSL‑VPN), activer MFA, vérifier comptes/politiques non autorisés, auditer logs VPN.
  • Hygiène des identifiants: éviter la réutilisation AD/VPN, MFA pour VPN, mots de passe uniques et complexes (notamment Domain Admin), rotation des comptes de service (sauvegardes).
  • Détection post‑exploitation: détections DCSync (Event ID 4662), nouvelles tâches planifiées déguisées, connexions de gestion anormales depuis pools VPN, traces LLMNR/NBT‑NS, accès non autorisé aux coffres d’identifiants de sauvegarde, nouveaux comptes “look‑alike”.
  • Sauvegardes: isolement réseau, patch des logiciels de backup, surveillance du chargement PowerShell non autorisé, copies immuables.
  • Spécifique AWS: activer GuardDuty, Inspector, Security Hub, Patch Manager ; revoir les accès IAM après compromission d’équipements réseau.

Conclusion Billet d’analyse de menace (threat intelligence) visant à documenter une campagne d’acteur appuyé par l’IA contre des FortiGate, partager des IoC/TTPS et fournir des recommandations défensives.

🧠 TTPs et IOCs détectés

TTP

Accès initial par abus d’identifiants sur les interfaces de gestion FortiGate exposées (ports 443, 8443, 10443, 4443); extraction et déchiffrement de configurations FortiGate via scripts Python assistés par IA; reconnaissance par port-scanning avec gogo, détection SMB et contrôleurs de domaine, scans Nuclei; mouvement latéral/élévation via DCSync avec mimikatz/Meterpreter, pass-the-hash, pass-the-ticket, relais NTLM, exécution distante Windows; ciblage de Veeam Backup & Replication pour extraction d’identifiants et tentatives d’exploitation de vulnérabilités; dépendance à l’IA pour génération de plans d’attaque, commandes et outils.

IOC

212.11.64.250 (infrastructure de scan et d’exploitation), 185.196.11.225 (infrastructure d’opérations)

🔗 Source originale : https://aws.amazon.com/fr/blogs/security/ai-augmented-threat-actor-accesses-fortigate-devices-at-scale/