Des LLM intĂ©grĂ©s Ă un MCP orchestrent des intrusions FortiGate Ă lâĂ©chelle mondiale (ARXON/CHECKER2)
Selon cyberandramen.net, un serveur mal configurĂ© exposĂ© dĂ©but fĂ©vrier 2026 (avec un prĂ©cĂ©dent en dĂ©cembre 2025) a rĂ©vĂ©lĂ© lâoutillage complet dâune opĂ©ration dâintrusion active ciblant des organisations sur plusieurs continents. La singularitĂ© de cette campagne rĂ©side dans lâintĂ©gration dâun pipeline LLM au cĆur du workflow dâattaque pour trier les cibles, produire des plans dâattaque et maintenir plusieurs intrusions en parallĂšle. đš Principales constatations. Un rĂ©pertoire ouvert a exposĂ© un arsenal opĂ©rant avec des victimes confirmĂ©es dans au moins 5 pays. LâopĂ©ration automatise la crĂ©ation de portes dĂ©robĂ©es sur des appliances Fortinet FortiGate, se connecte aux rĂ©seaux victimes, cartographie lâinfrastructure interne, puis transmet les rĂ©sultats Ă des LLM pour analyse. DeepSeek gĂ©nĂšre des plans dâattaque, tandis que Claude Code produit des Ă©valuations de vulnĂ©rabilitĂ© et est configurĂ© pour exĂ©cuter des outils offensifs (Impacket, Metasploit, hashcat) via un fichier de paramĂštres contenant des identifiants dâun grand mĂ©dia asiatique. Un serveur MCP inĂ©dit (« ARXON ») sert de pont vers les modĂšles et maintient une base de connaissance croissante par cible. Entre dĂ©cembre et fĂ©vrier, lâacteur est passĂ© dâun outil MCP open source (HexStrike) Ă un systĂšme dâexploitation pleinement automatisĂ© (ARXON + CHECKER2). Des logs indiquent que le serveur source a Ă©tĂ© utilisĂ© pour des sessions SSH modifiant des configurations FortiGate dans plusieurs pays. Des compromis confirmĂ©s touchent une sociĂ©tĂ© de gaz industrielle en Asie-Pacifique, un opĂ©rateur tĂ©lĂ©com en Turquie et le mĂ©dia asiatique mentionnĂ©, avec des reconnaissances additionnelles visant la CorĂ©e du Sud, lâĂgypte, le Vietnam et le Kenya. ...