📰 Source : BleepingComputer, publié le 1er juillet 2026. Cet article rapporte les conclusions de l’unité de recherche SOCRadar (STRU) sur la campagne FortiBleed, une opération massive de vol de credentials ciblant les équipements Fortinet FortiGate.

🎯 Contexte de la campagne Un serveur exposé sur internet contenait des credentials volés sur plus de 73 000 appareils Fortinet, incluant des fichiers de configuration FortiGate, des credentials récoltés et une infrastructure de crackage de hashes et de credential stuffing. La campagne a été baptisée FortiBleed.

🔧 Outillage technique Les attaquants ont déployé un outil personnalisé de packet sniffing nommé FortiGate Sniffer directement sur les pare-feux FortiGate compromis, permettant d’intercepter les credentials VPN et autres données d’authentification depuis le trafic réseau en temps réel.

🔗 Lien avec INC et Lynx Ransomware SOCRadar a identifié un serveur Windows appartenant à l’infrastructure FortiBleed, sur lequel des artefacts prouvent que l’acteur avait accès aux panneaux de négociation des ransomwares Lynx et INC. Des captures d’écran montrent des sessions navigateur actives sur ces panneaux, incluant des chats de négociation avec des victimes.

📊 Ampleur réelle de l’opération

  • Plus de 430 000 pare-feux FortiGate ciblés dans le monde
  • ~19 000 appareils avec des sniffers de trafic déployés
  • ~11 000 appareils encore compromis après notifications
  • ~500 serveurs utilisés par l’opération
  • ~200 serveurs opérationnels supplémentaires identifiés
  • ~20 membres avec des rôles définis
  • Chevauchement entre victimes FortiBleed et organisations listées sur le leak site INC

🚪 Backdoor persistante Des comptes backdoor persistants avec le nom d’utilisateur “adminin” ont été identifiés sur les systèmes compromis.

⚠️ Zero-day Nextcloud Les chercheurs estiment que les attaquants ont exploité une vulnérabilité zero-day non divulguée dans Nextcloud pour étendre leur accès après compromission initiale. Les détails techniques n’ont pas encore été publiés.

🏢 Contexte des groupes INC Ransom opère en tant que RaaS depuis mi-2023, ciblant la santé, l’éducation et les gouvernements. Lynx, apparu mi-2024, est considéré comme un rebrand d’INC Ransom.

📋 Type d’article : Publication de recherche / analyse de menace. But principal : documenter les liens entre la campagne FortiBleed et les groupes ransomware INC/Lynx, et révéler l’ampleur réelle de l’opération.

🧠 TTPs et IOCs détectés

Acteurs de menace

TTP

  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1040 — Network Sniffing (Credential Access)
  • T1110.004 — Brute Force: Credential Stuffing (Credential Access)
  • T1110.002 — Brute Force: Password Cracking (Credential Access)
  • T1078 — Valid Accounts (Defense Evasion)
  • T1136 — Create Account (Persistence)
  • T1098 — Account Manipulation (Persistence)
  • T1486 — Data Encrypted for Impact (Impact)

Malware / Outils

  • FortiGate Sniffer (tool)
  • INC Ransom (ransomware)
  • Lynx (ransomware)

🟡 Indice de vérification factuelle : 55/100 (moyenne)

  • ✅ bleepingcomputer.com — source reconnue (liste interne) (20pts)
  • ✅ 4162 chars — texte complet (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 8 TTPs MITRE identifiées (15pts)
  • ⬜ date RSS ou approximée (0pts)
  • ✅ acteur(s) identifié(s) : INC Ransom, Lynx (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.bleepingcomputer.com/news/security/fortibleed-credential-theft-campaign-linked-to-lynx-ransomware/

🖴 Archive : https://web.archive.org/web/20260702071213/https://www.bleepingcomputer.com/news/security/fortibleed-credential-theft-campaign-linked-to-lynx-ransomware/