FortiGate

Selon cyberandramen.net, un serveur mal configuré exposé début février 2026 (avec un précédent en décembre 2025) a révélé l’outillage complet d’une opération d’intrusion active ciblant des organisations sur plusieurs continents. La singularité de cette campagne réside dans l’intégration d’un pipeline LLM au cœur du workflow d’attaque pour trier les cibles, produire des plans d’attaque et maintenir plusieurs intrusions en parallèle. 🚨 Principales constatations. Un répertoire ouvert a exposé un arsenal opérant avec des victimes confirmées dans au moins 5 pays. L’opération automatise la création de portes dérobées sur des appliances Fortinet FortiGate, se connecte aux réseaux victimes, cartographie l’infrastructure interne, puis transmet les résultats à des LLM pour analyse. DeepSeek génère des plans d’attaque, tandis que Claude Code produit des évaluations de vulnérabilité et est configuré pour exécuter des outils offensifs (Impacket, Metasploit, hashcat) via un fichier de paramètres contenant des identifiants d’un grand média asiatique. Un serveur MCP inédit (« ARXON ») sert de pont vers les modèles et maintient une base de connaissance croissante par cible. Entre décembre et février, l’acteur est passé d’un outil MCP open source (HexStrike) à un système d’exploitation pleinement automatisé (ARXON + CHECKER2). Des logs indiquent que le serveur source a été utilisé pour des sessions SSH modifiant des configurations FortiGate dans plusieurs pays. Des compromis confirmés touchent une société de gaz industrielle en Asie-Pacifique, un opérateur télécom en Turquie et le média asiatique mentionné, avec des reconnaissances additionnelles visant la Corée du Sud, l’Égypte, le Vietnam et le Kenya. ...

Source et contexte — AWS Security Blog (CJ Moses, Amazon Threat Intelligence) publie une analyse d’une campagne observée du 11 janvier au 18 février 2026 : un acteur russophone à motivation financière a compromis plus de 600 appareils FortiGate dans plus de 55 pays. Aucune vulnérabilité FortiGate n’a été exploitée ; les intrusions reposent sur des interfaces de gestion exposées, des identifiants faibles et l’absence de MFA, avec une forte dépendance à des services d’IA générative commerciaux. L’acteur a compromis des environnements Active Directory, exfiltré des bases d’identifiants et ciblé les infrastructures de sauvegarde (pré-ransomware). L’infrastructure AWS n’a pas été impliquée. ...

Selon CERT Polska (CSIRT NASK), un ensemble d’attaques purement destructrices a visé le 29 décembre 2025 au moins 30 fermes éoliennes/solaires, une grande centrale de cogénération (CHP) et une entreprise manufacturière en Pologne. Les opérations ont touché à la fois l’IT et l’OT, sans demande de rançon, et ont été conduites par un même acteur. • Cible et impact OT (renouvelables) ⚡️ Perte de communication entre les sites et les DSOs via le GCP; production non interrompue mais risque de perturbation. Vecteur: dispositifs FortiGate exposés (SSL‑VPN sans MFA, comptes statiques), réinitialisés usine pour effacer les traces. Actions: exploitation d’identifiants par défaut et interfaces locales pour endommager l’OT: Hitachi RTU560: connexion web avec compte “Default”, téléversement de firmware corrompu (ELF modifié) causant boucle de reboot; sécurisation de mise à jour non activée ou contournée (CVE‑2024‑2617; corrigé en 13.7.7). Mikronika RTUs: SSH root par défaut, suppression massive de fichiers. Hitachi Relion 650 v1.1 (IEDs): FTP par défaut pour supprimer des fichiers critiques → arrêt irréversible. Mikronika HMI (Win10): RDP via admin local connu, ouverture SMB/445, Impacket, déploiement de DynoWiper. Moxa NPort 6xxx: reset usine, mot de passe changé, IP mise à 127.0.0.1 pour retarder la reprise. • Intrusion et tentative de sabotage IT (CHP) 🏭 ...

BleepingComputer rapporte que des attaquants exploitent un contournement de correctif pour une vulnérabilité critique d’authentification FortiGate (CVE-2025-59718), compromettant des pare-feux déjà patchés. Des administrateurs Fortinet observent des compromissions sur des FortiGate en FortiOS 7.4.9 et 7.4.10. Fortinet aurait confirmé que 7.4.10 ne corrige pas entièrement la faille, initialement annoncée comme patchée avec 7.4.9. L’éditeur prévoirait la sortie de FortiOS 7.4.11, 7.6.6 et 8.0.0 dans les prochains jours pour corriger pleinement le problème. ...

Selon un billet de l’équipe HvS IR, un incident de ransomware mené par le groupe INC Ransom a tiré parti d’une vulnérabilité FortiGate de janvier 2025 (FG-IR-24-535), dans un contexte d’attaques typiques, de vulnérabilités connues et de mauvaises configurations. Faits saillants: Les assaillants ont délibérément détruit des données. Ils ont fourni de fausses informations lors des négociations 💬. L’environnement a été entièrement chiffré en 48 heures après l’accès initial 🔐. Vecteur et conditions d’exploitation: ...