🔍 Contexte

Le 19 juin 2026, Fortinet publie sur son blog PSIRT une analyse officielle d’une campagne malveillante baptisée FortiBleed, ciblant des équipements FortiGate dans le cadre d’une opération de credential harvesting.

🎯 Nature de l’activité

Selon Fortinet, cette campagne repose sur deux vecteurs principaux :

  • Réutilisation de credentials issus d’incidents antérieurs référencés FG-IR-26-060 et FG-IR-25-647
  • Attaques par force brute contre des appareils présentant une politique de mots de passe faible et sans authentification multi-facteurs (MFA)

Fortinet précise explicitement qu’il ne s’agit pas d’une nouvelle vulnérabilité et que cette activité n’est pas liée à un incident ou advisory récent.

🛠️ Indicateurs de compromission mentionnés

Fortinet invite les clients à surveiller notamment :

  • La création de comptes non reconnus tels que forticloud, fortiuser, fortinet-support, fortinet-tech-support
  • Des accès administrateurs inattendus depuis des IP inconnues
  • Des réinitialisations de mots de passe non autorisées
  • Des connexions VPN depuis des localisations inhabituelles
  • Des mouvements latéraux détectables dans les logs du contrôleur de domaine

🔗 Risque de propagation

En cas de compromission confirmée, Fortinet souligne le risque de mouvement latéral vers le réseau interne, notamment si une intégration AD/LDAP est configurée, auquel cas le compte concerné doit être traité comme compromis.

📄 Type d’article

Il s’agit d’un avis officiel PSIRT publié par Fortinet, dont le but principal est d’informer les clients sur une campagne active de collecte de credentials et de fournir des indicateurs permettant de détecter une compromission éventuelle.

🧠 TTPs et IOCs détectés

TTP

  • T1110 — Brute Force (Credential Access)
  • T1078 — Valid Accounts (Defense Evasion)
  • T1110.004 — Brute Force: Credential Stuffing (Credential Access)
  • T1021 — Remote Services (Lateral Movement)
  • T1136 — Create Account (Persistence)

🟡 Indice de vérification factuelle : 60/100 (moyenne)

  • ✅ fortinet.com — source reconnue (liste interne) (20pts)
  • ✅ 4934 chars — texte complet (fulltext extrait) (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 5 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.fortinet.com/blog/psirt-blogs/analysis-of-reported-credential-compromise-of-fortigate-devices