FortiBleed : campagne de collecte de credentials ciblant les équipements FortiGate

🔍 Contexte Le 19 juin 2026, Fortinet publie sur son blog PSIRT une analyse officielle d’une campagne malveillante baptisĂ©e FortiBleed, ciblant des Ă©quipements FortiGate dans le cadre d’une opĂ©ration de credential harvesting. 🎯 Nature de l’activitĂ© Selon Fortinet, cette campagne repose sur deux vecteurs principaux : RĂ©utilisation de credentials issus d’incidents antĂ©rieurs rĂ©fĂ©rencĂ©s FG-IR-26-060 et FG-IR-25-647 Attaques par force brute contre des appareils prĂ©sentant une politique de mots de passe faible et sans authentification multi-facteurs (MFA) Fortinet prĂ©cise explicitement qu’il ne s’agit pas d’une nouvelle vulnĂ©rabilitĂ© et que cette activitĂ© n’est pas liĂ©e Ă  un incident ou advisory rĂ©cent. ...

23 juin 2026 Â· 2 min

SOCRadar documente FortiBleed, une campagne d'un IAB russophone ayant compromis plus de 430 000 FortiGate

🔍 Contexte Le 23 juin 2026, SOCRadar Threat Research Unit (STRU) publie un rapport technique dĂ©taillĂ© sur la campagne FortiBleed, une opĂ©ration de collecte massive de credentials ciblant les pare-feux FortiGate Ă  l’échelle mondiale. L’investigation a dĂ©butĂ© suite Ă  un post LinkedIn du chercheur Volodymyr « Bob » Diachenko signalant un rĂ©pertoire exposĂ© Ă  l’adresse http://85.11.187.8:9999. 🎯 Acteur et motivation L’acteur est Ă©valuĂ© comme un Initial Access Broker (IAB) Ă  motivation financiĂšre, avec une origine russe probable (commentaires en cyrillique dans les outils). La compromission d’un contractant de dĂ©fense alignĂ© OTAN soulĂšve Ă©galement l’hypothĂšse d’une collaboration avec des groupes Ă©tatiques russes. La campagne est active depuis au moins fĂ©vrier 2026. ...

23 juin 2026 Â· 10 min

FortiBleed : anatomie d'une campagne industrielle de vol de credentials Fortinet FortiGate

🔍 Contexte Le 20 juin 2026, la sociĂ©tĂ© ZenoX publie une analyse technique approfondie de la campagne FortiBleed, aprĂšs avoir reçu le 19 juin 2026 l’accĂšs Ă  un rĂ©pertoire de travail laissĂ© exposĂ© sur internet par les opĂ©rateurs eux-mĂȘmes. Ce rĂ©pertoire contenait environ 318 fichiers constituant l’intĂ©gralitĂ© de l’infrastructure offensive : outils, scripts, listes de cibles, journaux opĂ©rationnels et donnĂ©es volĂ©es. 🎯 PĂ©rimĂštre de la campagne La campagne FortiBleed est une opĂ©ration de vol de credentials Ă  l’échelle industrielle ciblant les firewalls et concentrateurs SSL-VPN Fortinet FortiGate. Les chiffres clĂ©s : ...

21 juin 2026 Â· 5 min

FortiBleed : fuite massive de credentials Fortinet VPN pour 73 932 équipements dans le monde

📰 Source : BleepingComputer — Date de publication : 17 juin 2026 Le chercheur en sĂ©curitĂ© Bob Diachenko a dĂ©couvert un serveur exposĂ© contenant une base de donnĂ©es massive de credentials Fortinet/FortiGate VPN, incluant noms d’utilisateur, adresses e-mail et mots de passe en clair. L’ensemble, baptisĂ© “FortiBleed”, couvre 73 932 URLs de firewalls rĂ©partis dans 194 pays et 21 632 domaines uniques. 🎯 Organisations impactĂ©es : parmi les entitĂ©s identifiĂ©es figurent Chevron, Samsung, Foxconn, Comcast, AT&T, Mercedes-Benz, Toyota, Sinopec, State Grid, Siemens, Lenovo, PwC, Accenture, Oracle, ainsi que des agences gouvernementales et des opĂ©rateurs d’infrastructures critiques. ...

18 juin 2026 Â· 3 min

FortiBleed : 73 932 pare-feux Fortinet compromis par un groupe russophone à l'échelle mondiale

🔍 Contexte PubliĂ© le 17 juin 2026 par Hudson Rock (hudsonrock.com), cet article s’appuie sur les recherches du chercheur en sĂ©curitĂ© Volodymyr « Bob » Diachenko. Il documente une campagne d’espionnage cyber d’envergure mondiale ciblant les Ă©quipements Fortinet FortiGate (pare-feux et passerelles VPN). 🎯 MĂ©thodologie de l’attaque Le groupe, dĂ©crit comme multi-opĂ©rateurs et russophone, a opĂ©rĂ© de maniĂšre hautement automatisĂ©e : 1,16 milliard de tentatives de credential stuffing contre plus de 320 000 cibles FortiGate 2,1 milliards de tentatives de brute-force contre plus de 160 000 serveurs MSSQL Interception de hachages d’authentification SSL VPN et cracking via un cluster dĂ©diĂ© de 45 GPU gĂ©rĂ© par Hashtopolis Pivot systĂ©matique vers les environnements Active Directory internes pour Ă©tablir une persistance profonde Exploitation de bases de donnĂ©es de credentials prĂ©alablement volĂ©s (infostealers) pour contourner les politiques de complexitĂ© des mots de passe 📊 Ampleur et victimes 73 932 URLs de pare-feux uniques compromises dans 194 pays 21 632 domaines affectĂ©s uniques Pays les plus touchĂ©s : Inde (9 629), États-Unis (6 352), TaĂŻwan (3 637), Mexique (3 197), Turquie (3 032) Secteurs les plus impactĂ©s : IT Services, TĂ©lĂ©communications, Construction, Services financiers, Gouvernement Victimes nommĂ©es : Foxconn, Samsung, Comcast, Siemens, Lenovo, PwC, Accenture, Oracle, ainsi que des entitĂ©s gouvernementales et des infrastructures critiques. ...

17 juin 2026 Â· 3 min

The Gentlemen : analyse complĂšte des TTPs du nouveau groupe RaaS issu de Qilin

🔍 Contexte PubliĂ© le 22 mars 2026 par Group-IB, ce rapport analyse en profondeur les tactiques, techniques et procĂ©dures (TTPs) du groupe The Gentlemen, une opĂ©ration Ransomware-as-a-Service (RaaS) Ă©mergente composĂ©e d’environ 20 membres, anciennement connue sous le nom ArmCorp en tant qu’affiliĂ© de Qilin. đŸ§‘â€đŸ’» Origine et historique du groupe L’opĂ©ration est administrĂ©e par un russophone utilisant le pseudonyme hastalamuerte. Le groupe s’est sĂ©parĂ© de Qilin suite Ă  un litige financier de 48 000 USD de commission non versĂ©e, rendu public le 22 juillet 2025 sur le forum RAMP. Un premier Ă©chantillon Windows du ransomware avait dĂ©jĂ  Ă©tĂ© uploadĂ© sur VirusTotal le 17 juillet 2025 (SHA256 : 51b9f246d6da85631131fcd1fabf0a67937d4bdde33625a44f7ee6a3a7baebd2), confirmant que le dĂ©veloppement Ă©tait en cours avant la rupture publique avec Qilin. Le DLS est devenu public dĂ©but septembre 2025. ...

22 mars 2026 Â· 5 min

Intrusions via FortiGate: comptes de service volés, postes rogue et compromission AD

Selon SentinelOne (billet de blog DFIR), plusieurs incidents dĂ©but 2026 montrent des FortiGate compromis servant de point d’entrĂ©e pour des mouvements latĂ©raux profonds dans Active Directory, avec exploitation de failles SSO corrigĂ©es par Fortinet et carences de logs compliquant l’attribution. ‱ VulnĂ©rabilitĂ©s et accĂšs initial: exploitation de CVE-2025-59718 et CVE-2025-59719 (SSO ne validant pas les signatures cryptographiques) et de CVE-2026-24858 (FortiCloud SSO), permettant un accĂšs administrateur non authentifiĂ©. Des acteurs tentent aussi des connexions avec identifiants faibles. Une fois sur l’appliance, l’attaque consiste Ă  extraire la configuration via la commande show full-configuration et Ă  dĂ©chiffrer les identifiants AD/LDAP, les fichiers de configuration FortiOS Ă©tant chiffrĂ©s de façon rĂ©versible. Le dĂ©lai entre compromission pĂ©rimĂ©trique et action rĂ©seau a variĂ© de 2 mois Ă  quasi immĂ©diat. ...

11 mars 2026 Â· 4 min

CyberStrikeAI lié à la compromission de 600+ FortiGate dans 55 pays, orchestrée par IA

Selon barrack.ai (mise Ă  jour 4 mars 2026), qui synthĂ©tise des enquĂȘtes d’Amazon Threat Intelligence (20 fĂ©v. 2026), Team Cymru (~2 mars 2026) et le blog indĂ©pendant Cyber and Ramen (21 fĂ©v. 2026), une campagne active a compromis 600+ Ă©quipements FortiGate dans 55+ pays en cinq semaines. L’opĂ©rateur, dĂ©crit par Amazon comme russe‑parlant, motivĂ© financiĂšrement et de compĂ©tence faible Ă  moyenne mais amplifiĂ©e par l’IA, a utilisĂ© des services LLM commerciaux et une infrastructure personnalisĂ©e. Chaque affirmation est attribuĂ©e Ă  sa source: Amazon pour l’incident et la chaĂźne post‑exploitation, Cyber and Ramen pour l’infrastructure exposĂ©e, Team Cymru pour le lien technique avec CyberStrikeAI et l’adoption globale. ...

5 mars 2026 Â· 3 min

Des LLM intĂ©grĂ©s Ă  un MCP orchestrent des intrusions FortiGate Ă  l’échelle mondiale (ARXON/CHECKER2)

Selon cyberandramen.net, un serveur mal configurĂ© exposĂ© dĂ©but fĂ©vrier 2026 (avec un prĂ©cĂ©dent en dĂ©cembre 2025) a rĂ©vĂ©lĂ© l’outillage complet d’une opĂ©ration d’intrusion active ciblant des organisations sur plusieurs continents. La singularitĂ© de cette campagne rĂ©side dans l’intĂ©gration d’un pipeline LLM au cƓur du workflow d’attaque pour trier les cibles, produire des plans d’attaque et maintenir plusieurs intrusions en parallĂšle. 🚹 Principales constatations. Un rĂ©pertoire ouvert a exposĂ© un arsenal opĂ©rant avec des victimes confirmĂ©es dans au moins 5 pays. L’opĂ©ration automatise la crĂ©ation de portes dĂ©robĂ©es sur des appliances Fortinet FortiGate, se connecte aux rĂ©seaux victimes, cartographie l’infrastructure interne, puis transmet les rĂ©sultats Ă  des LLM pour analyse. DeepSeek gĂ©nĂšre des plans d’attaque, tandis que Claude Code produit des Ă©valuations de vulnĂ©rabilitĂ© et est configurĂ© pour exĂ©cuter des outils offensifs (Impacket, Metasploit, hashcat) via un fichier de paramĂštres contenant des identifiants d’un grand mĂ©dia asiatique. Un serveur MCP inĂ©dit (« ARXON ») sert de pont vers les modĂšles et maintient une base de connaissance croissante par cible. Entre dĂ©cembre et fĂ©vrier, l’acteur est passĂ© d’un outil MCP open source (HexStrike) Ă  un systĂšme d’exploitation pleinement automatisĂ© (ARXON + CHECKER2). Des logs indiquent que le serveur source a Ă©tĂ© utilisĂ© pour des sessions SSH modifiant des configurations FortiGate dans plusieurs pays. Des compromis confirmĂ©s touchent une sociĂ©tĂ© de gaz industrielle en Asie-Pacifique, un opĂ©rateur tĂ©lĂ©com en Turquie et le mĂ©dia asiatique mentionnĂ©, avec des reconnaissances additionnelles visant la CorĂ©e du Sud, l’Égypte, le Vietnam et le Kenya. ...

25 fĂ©vrier 2026 Â· 5 min

Un acteur appuyĂ© par l’IA compromet plus de 600 FortiGate via interfaces exposĂ©es et identifiants faibles

Source et contexte — AWS Security Blog (CJ Moses, Amazon Threat Intelligence) publie une analyse d’une campagne observĂ©e du 11 janvier au 18 fĂ©vrier 2026 : un acteur russophone Ă  motivation financiĂšre a compromis plus de 600 appareils FortiGate dans plus de 55 pays. Aucune vulnĂ©rabilitĂ© FortiGate n’a Ă©tĂ© exploitĂ©e ; les intrusions reposent sur des interfaces de gestion exposĂ©es, des identifiants faibles et l’absence de MFA, avec une forte dĂ©pendance Ă  des services d’IA gĂ©nĂ©rative commerciaux. L’acteur a compromis des environnements Active Directory, exfiltrĂ© des bases d’identifiants et ciblĂ© les infrastructures de sauvegarde (prĂ©-ransomware). L’infrastructure AWS n’a pas Ă©tĂ© impliquĂ©e. ...

22 fĂ©vrier 2026 Â· 5 min
Derniùre mise à jour le: 14 juillet 2026 📝