🗓️ Contexte

Article publié le 21 juin 2026 par Hudson Rock via la plateforme Infostealers. Il s’agit d’une analyse technique approfondie de la campagne FortiBleed, initialement divulguée par Hudson Rock, portant sur la compromission de 75 000 firewalls Fortinet FortiGate exposés sur internet, couvrant 21 632 domaines.

⚙️ Mécanisme d’attaque

Les attaquants ont adopté un pipeline entièrement automatisé et assisté par IA :

  • Collecte : exfiltration de fichiers de configuration chiffrés depuis des appareils Fortinet exposés
  • Infrastructure de craquage : location de 36 GPU enterprise (3 instances × 4 GPU + 3 instances × 8 GPU) sur la plateforme Vast.ai, pour un coût d’environ 14,40 $/heure (~350 $/jour)
  • Orchestration : gestion du cluster via un bot Telegram et le framework open source Hashtopolis
  • Développement : scripts et bots écrits avec l’éditeur de code assisté par IA Cursor
  • Post-exploitation : utilisation de frameworks de pentest agentiques open source pour l’énumération Active Directory

🔢 Performances cryptographiques

  • Hachages SHA-256 salés (legacy Fortinet) : jusqu’à 720 milliards de hachages/seconde → mots de passe complexes épuisés en quelques minutes
  • PBKDF2 (FortiOS récent) : entre 180 et 360 millions de hachages/seconde → attaques par dictionnaire et règles ciblées en quelques secondes
  • Résultat : craquage de ~143 000 hachages Kerberos et ~33 000 hachages NetNTLM ciblant des contrôleurs de domaine internes

🌐 Impact supply chain

Les firewalls compromis servent de beachheads pour pivoter latéralement vers des fournisseurs tiers, MSPs et partenaires de confiance, transformant une compromission périmétrique en crise de chaîne d’approvisionnement en cascade.

💰 Économie de l’accès initial

L’acteur russophone SantaAd est cité comme exemple d’Initial Access Broker vendant des accès Fortinet en masse sur des forums cybercriminels russophones. FortiBleed industrialise ce modèle en combinant logs d’infostealers (fuel) et clusters GPU loués (engine).

📌 Type d’article

Analyse technique et threat intelligence publiée par Hudson Rock, visant à documenter les mécanismes opérationnels de la campagne FortiBleed et à sensibiliser sur la commoditisation des capacités de calcul cryptographique.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • SantaAd (cybercriminal) —

TTP

  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1552.001 — Credentials In Files (Credential Access)
  • T1110.002 — Brute Force: Password Cracking (Credential Access)
  • T1558.003 — Steal or Forge Kerberos Tickets: Kerberoasting (Credential Access)
  • T1557.001 — Adversary-in-the-Middle: LLMNR/NBT-NS Poisoning and SMB Relay (Credential Access)
  • T1530 — Data from Cloud Storage (Collection)
  • T1590 — Gather Victim Network Information (Reconnaissance)
  • T1018 — Remote System Discovery (Discovery)
  • T1087 — Account Discovery (Discovery)
  • T1078 — Valid Accounts (Defense Evasion)
  • T1199 — Trusted Relationship (Initial Access)
  • T1040 — Network Sniffing (Credential Access)
  • T1005 — Data from Local System (Collection)

Malware / Outils

  • Hashtopolis (tool)
  • Cursor (tool)

🟡 Indice de vérification factuelle : 45/100 (moyenne)

  • ⬜ infostealers.com — source non référencée (0pts)
  • ✅ 14328 chars — texte complet (fulltext extrait) (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 13 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : SantaAd (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.infostealers.com/article/supercomputing-on-a-credit-card-from-the-ai-rush-enabled-the-massive-fortibleed-campaign/