🔍 Contexte

Publié le 17 juin 2026 par Hudson Rock (hudsonrock.com), cet article s’appuie sur les recherches du chercheur en sécurité Volodymyr « Bob » Diachenko. Il documente une campagne d’espionnage cyber d’envergure mondiale ciblant les équipements Fortinet FortiGate (pare-feux et passerelles VPN).

🎯 Méthodologie de l’attaque

Le groupe, décrit comme multi-opérateurs et russophone, a opéré de manière hautement automatisée :

  • 1,16 milliard de tentatives de credential stuffing contre plus de 320 000 cibles FortiGate
  • 2,1 milliards de tentatives de brute-force contre plus de 160 000 serveurs MSSQL
  • Interception de hachages d’authentification SSL VPN et cracking via un cluster dédié de 45 GPU géré par Hashtopolis
  • Pivot systématique vers les environnements Active Directory internes pour établir une persistance profonde
  • Exploitation de bases de données de credentials préalablement volés (infostealers) pour contourner les politiques de complexité des mots de passe

📊 Ampleur et victimes

  • 73 932 URLs de pare-feux uniques compromises dans 194 pays
  • 21 632 domaines affectés uniques
  • Pays les plus touchés : Inde (9 629), États-Unis (6 352), Taïwan (3 637), Mexique (3 197), Turquie (3 032)
  • Secteurs les plus impactés : IT Services, Télécommunications, Construction, Services financiers, Gouvernement

Victimes nommées : Foxconn, Samsung, Comcast, Siemens, Lenovo, PwC, Accenture, Oracle, ainsi que des entités gouvernementales et des infrastructures critiques.

⚠️ Cas critique identifié : exfiltration de documents de défense classifiés depuis un contractant de défense turc membre de l’OTAN. Des compromissions complètes de réseaux ont également été confirmées au Japon, Taïwan, Vietnam, Irak et Turquie.

📰 Nature de l’article

Il s’agit d’une publication de recherche à visée de divulgation éthique par Hudson Rock, accompagnée d’un outil gratuit de vérification de domaine permettant aux organisations de savoir si elles figurent dans le dataset compromis.

🧠 TTPs et IOCs détectés

TTP

  • T1110.001 — Brute Force: Password Guessing (Credential Access)
  • T1110.004 — Brute Force: Credential Stuffing (Credential Access)
  • T1557 — Adversary-in-the-Middle (Credential Access)
  • T1040 — Network Sniffing (Credential Access)
  • T1078 — Valid Accounts (Defense Evasion)
  • T1021 — Remote Services (Lateral Movement)
  • T1018 — Remote System Discovery (Discovery)
  • T1590 — Gather Victim Network Information (Reconnaissance)
  • T1486 — Data Encrypted for Impact (Impact)
  • T1041 — Exfiltration Over C2 Channel (Exfiltration)

Malware / Outils

  • Hashtopolis (tool)

🟡 Indice de vérification factuelle : 40/100 (moyenne)

  • ⬜ hudsonrock.com — source non référencée (0pts)
  • ✅ 9822 chars — texte complet (fulltext extrait) (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 10 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.hudsonrock.com/blog/fortibleed-75000-fortinet-firewalls-compromised-global-enterprises-exposed-claim-your-ethical-disclosure