🔍 Contexte

Le 20 juin 2026, la sociĂ©tĂ© ZenoX publie une analyse technique approfondie de la campagne FortiBleed, aprĂšs avoir reçu le 19 juin 2026 l’accĂšs Ă  un rĂ©pertoire de travail laissĂ© exposĂ© sur internet par les opĂ©rateurs eux-mĂȘmes. Ce rĂ©pertoire contenait environ 318 fichiers constituant l’intĂ©gralitĂ© de l’infrastructure offensive : outils, scripts, listes de cibles, journaux opĂ©rationnels et donnĂ©es volĂ©es.

🎯 PĂ©rimĂštre de la campagne

La campagne FortiBleed est une opĂ©ration de vol de credentials Ă  l’Ă©chelle industrielle ciblant les firewalls et concentrateurs SSL-VPN Fortinet FortiGate. Les chiffres clĂ©s :

  • 73 932 URLs de firewalls uniques dans 194 pays
  • 21 632 domaines affectĂ©s
  • ~1,16 milliard de tentatives de credentials contre 320 777 cibles FortiGate
  • 2,1 milliards de tentatives brute-force contre 163 650 hĂŽtes Microsoft SQL Server
  • ActivitĂ© concentrĂ©e entre le 19 mai et le 7 juin 2026

Le contexte CVE associé est CVE-2026-24858 (bypass SAML SSO FortiCloud, CVSS 9.8, divulgué le 27 janvier 2026), bien que la totalité de la collecte ne soit pas confirmée comme issue de cette seule faille.

⚙ ChaĂźne opĂ©rationnelle en 4 Ă©tapes

Étape 1 – Scan massif et capture de trafic

  • Outil Go/Windows, 40 cƓurs, cycles de 300 minutes, 1 000 threads simultanĂ©s
  • Base GeoIP de 737 379 rĂ©seaux, listes rĂ©gionales (ex : EU.txt avec 6 127 appareils)
  • Anti-forensics : suppression automatique des captures PCAP aprĂšs traitement (delete_pcapng=true)

Étape 2 – Collecte de credentials

  • Binaire ELF statique Go : harvest_orig (SHA-256 : 2758f4d71a2a2dfdefab81737c2d776b2a3dafe5844fdd2157e089a28447ca98)
  • Extraction multi-protocoles depuis les PCAPs : NTLMv1/v2, Kerberos (RC4, AES, AS-REP, Kerberoast), HTTP (Basic/Form/JSON), LDAP, MSSQL, MySQL, FTP, Telnet, RADIUS, SNMP, SSH, tokens, cookies de session
  • Extraction Ă©galement du contenu email (adresses, messages, piĂšces jointes)
  • Robot de reconnexion au panneau admin FortiGate toutes les 20 minutes pour dumper la table de sessions

Étape 3 – Cracking offline Ă  grande Ă©chelle

  • Cluster Hashtopolis sur 85.XX.1XX.8:8443, clĂ© HP_MASTER_KEY_2026
  • GPUs louĂ©s Ă  la demande sur Vast.ai (voucher VAST-GPU-2026), agent Hashtopolis v0.7.2
  • ContrĂŽle via bot Telegram (bot.py, 4 525 lignes, pool de 10× RTX 4090)
  • 9 modes hashcat : NetNTLMv2 (5600), FortiGate MD5 (7000) et SHA-256 (26300), IPMI RAKP (7300), MSSQL (1731), Kerberos RC4 (7500), AS-REP (18200), Kerberoast (13100), AES256 (19900)
  • Corpus analysĂ© : 30 945 mots de passe (5 705 uniques)

Étape 4 – Mouvement latĂ©ral et compromission Active Directory

  • Configuration openfortivpn pointant vers des concentrateurs victimes
  • Arsenal impacket : AS-REP roasting, Kerberoasting, dĂ©lĂ©gation contrainte/non contrainte, RBCD, LAPS, gMSA, DnsAdmins, GPO
  • Scripts : ad_full_audit.py, spray_da.py, spray_taroko.py, spider.py
  • Compromissions confirmĂ©es en profondeur au Vietnam, TaĂŻwan, Japon

đŸšȘ Comptes backdoor plantĂ©s

Les attaquants ont créé des comptes persistants imitant des services Fortinet légitimes :

  • adminin:ITAdmin@888 → prĂ©sent sur 3 947 appareils
  • fortiAdmin:fortiAdmin1qaz2wsx → 1 282 appareils
  • fgtsecure:F0rt!n3tS3cur3! → 1 152 appareils
  • Noms de comptes : forticloud-sync, forticloud-tech, support_fortinet, fgtsecure, fgtsec, Technical_support, fortinetadmin, tech-fortinet
  • 5 868+ comptes suivant ce schĂ©ma de camouflage
  • 21 976 appareils avec accĂšs administratif confirmĂ© (90,6% via SSH port 22)

đŸ€– Agent IA offensif : CyberStrike

L’outil CyberStrike (agent de pentest autonome IA, open-source AGPL, TypeScript/Bun) Ă©tait installĂ© sur l’hĂŽte et les 7 VMs Kali. Il intĂšgre plus de 13 agents spĂ©cialisĂ©s, 7 300+ skills, 2 000+ tests atomiques MITRE ATT&CK, un navigateur Chromium embarquĂ© (HackBrowser), et un mĂ©canisme d’exĂ©cution distante (Bolt/MCP). Support de 15+ fournisseurs LLM en mode BYOK.

đŸ’„ Impact

  • Surface : dizaines de milliers de firewalls avec credentials compromis et comptes backdoor
  • IntermĂ©diaire : trafic sensible capturĂ© (credentials multi-protocoles + emails)
  • Profond : 623 domaines AD compromis, dont 32 avec hashes dĂ©jĂ  crackĂ©s (risque Domain Admin)
  • ModĂšle Initial Access Broker : accĂšs persistants et revendables

📋 Type d’article

Publication de recherche technique et threat intelligence, basĂ©e sur l’analyse forensique d’une infrastructure offensive exposĂ©e. But principal : documenter le tradecraft, extraire des indicateurs actionnables et permettre la notification des victimes.

🧠 TTPs et IOCs dĂ©tectĂ©s

TTP

  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1110.003 — Brute Force: Password Spraying (Credential Access)
  • T1110.001 — Brute Force: Password Guessing (Credential Access)
  • T1040 — Network Sniffing (Credential Access)
  • T1557 — Adversary-in-the-Middle (Credential Access)
  • T1003 — OS Credential Dumping (Credential Access)
  • T1558.003 — Steal or Forge Kerberos Tickets: Kerberoasting (Credential Access)
  • T1558.004 — Steal or Forge Kerberos Tickets: AS-REP Roasting (Credential Access)
  • T1136 — Create Account (Persistence)
  • T1078 — Valid Accounts (Persistence)
  • T1021.002 — Remote Services: SMB/Windows Admin Shares (Lateral Movement)
  • T1021.004 — Remote Services: SSH (Lateral Movement)
  • T1133 — External Remote Services (Initial Access)
  • T1083 — File and Directory Discovery (Discovery)
  • T1087 — Account Discovery (Discovery)
  • T1482 — Domain Trust Discovery (Discovery)
  • T1070 — Indicator Removal (Defense Evasion)
  • T1588.002 — Obtain Capabilities: Tool (Resource Development)
  • T1496 — Resource Hijacking (Impact)
  • T1114 — Email Collection (Collection)
  • T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
  • T1572 — Protocol Tunneling (Command and Control)

IOC

  • Domaines : cyberstrike.io — VT · URLhaus · ThreatFox
  • URLs : https://cyberstrike.io/install.sh — URLhaus
  • SHA256 : 2758f4d71a2a2dfdefab81737c2d776b2a3dafe5844fdd2157e089a28447ca98 — VT · MalwareBazaar
  • CVEs : CVE-2026-24858 — NVD · CIRCL
  • Fichiers : harvest_orig
  • Fichiers : bot.py
  • Fichiers : bot.py.bak
  • Fichiers : setup_hashtopolis.sh
  • Fichiers : setup_agent.sh
  • Fichiers : ht_agent.zip
  • Fichiers : crash_170.log
  • Fichiers : crash2.log
  • Fichiers : all_creds_with_context.txt
  • Fichiers : real_http_creds.txt
  • Fichiers : ldap_creds.txt
  • Fichiers : all_valid.txt
  • Fichiers : vpn5.conf
  • Fichiers : ad_full_audit.py
  • Fichiers : spray_da.py
  • Fichiers : spray_taroko.py
  • Fichiers : spider.py
  • Fichiers : final-setup.sh
  • Fichiers : rebuild-vms.sh
  • Fichiers : fix-vms.sh
  • Fichiers : fg_capture.log
  • Fichiers : EU.txt
  • Fichiers : ipgeo.csv
  • Fichiers : libopentui.so

Malware / Outils

  • harvest_orig (tool)
  • Hashtopolis (framework)
  • hashcat (tool)
  • impacket (framework)
  • CyberStrike (framework)
  • openfortivpn (tool)
  • Telegram Hashcat Bot (HASHBOT) (tool)

🟡 Indice de vĂ©rification factuelle : 55/100 (moyenne)

  • ⬜ zenox.ai — source non rĂ©fĂ©rencĂ©e (0pts)
  • ✅ 27913 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 28 IOCs dont des hashes (15pts)
  • ⬜ 0/3 IOCs confirmĂ©s externellement (0pts)
  • ✅ 22 TTPs MITRE identifiĂ©es (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommĂ© (0pts)
  • ⬜ 0/1 CVE(s) confirmĂ©e(s) (0pts)

🔗 Source originale : https://zenox.ai/en/fortibleed-anatomy-of-the-fortibleed-campaign-based-on-the-server-that-the-attackers-themselves-left-exposed/