De onlangs ontdekte financieel gemotiveerde FortiBleed campagne is toegeschreven aan INC- en Lynx-ransomwareactiviteiten, wat aangeeft dat de geverifieerde, gestolen inloggegevens bedoeld waren voor vervolginbraken.
“Er werd een operator gevonden die verbonden was met de infrastructuur van FortiBleed en actief werkte onderhandelingspanels voor beide groepen, waardoor de massale diefstal van FortiGate-gegevens voor het eerst rechtstreeks werd gekoppeld aan de inzet van ransomware”, aldus SOCRadar in een nieuw rapport dat woensdag werd gepubliceerd.
Het bedrijf zei dat het de scanactiviteit van ongeveer 11.250 FortiGate-portals in meer dan 150 landen heeft gevolgd, gevolgd door bevestigde toegang op beheerdersniveau tot 409 doelen en een succesvolle voltooiing van de volledige aanvalsketen op 354 daarvan. In totaal zijn ten minste twaalf ransomware-implementaties het resultaat van deze toegang, waardoor honderden eindpunten in de getroffen organisaties zijn gecodeerd.
Bij de grootschalige operatie voor het verzamelen van inloggegevens, die vorige maand aan het licht kwam, scanden de bedreigingsactoren systematisch het internet op zoek naar blootgestelde Fortinet-apparaten, waarbij ze probeerden in te breken met behulp van bekende combinaties van inloggegevens, en vervolgens aangepaste pakketsniffers in te zetten om passief inloggegevens en andere authenticatiegegevens uit het netwerkverkeer te verzamelen.
Er wordt geschat dat de campagne zich wereldwijd op 430.000 FortiGate-firewalls heeft gericht, waarbij meer dan 110 miljoen inloggegevens zijn verzameld. De activiteit kwam aan het licht nadat een operationele beveiligingsfout van de kant van de aanvallers een server verliet met inloggegevens die waren gestolen van duizenden Fortinet-apparaten die op internet waren blootgesteld.
De Golang-sniffer is naar schatting op ongeveer 12.000 Fortinet-apparaten geïnstalleerd, waardoor het een subset is van het totale aantal beoogde netwerkapparatuur.
Uit de laatste bevindingen van SOCRadar blijkt dat een operator met toegang tot de FortiBleed-infrastructuur ingelogd is aangetroffen bij zowel INC Ransom- als Lynx-onderhandelingspanels, waarbij de door INC Ransom opgesomde slachtoffers overlappen met gegevens uit de campagne. De koppelingen zijn gebaseerd op een van de 200 nieuw ontdekte servers die zijn gekoppeld aan de FortiBleed-infrastructuur en die inzicht gaven in interne bestanden, logs en operationele documentatie.
Tooling, logboeken en werkuren geven aan dat de activiteit het werk is van een Russisch sprekende dreigingsacteur die waarschijnlijk opereert als initiële toegangsmakelaar. Een groot deel van de targeting was gericht op de productie-, technologie- en logistieke sectoren in Latijns-Amerika en de regio Azië-Pacific.
SOCRadar zei ook dat het een intern document had ontdekt dat aangeeft dat het een georganiseerde operatie is, bestaande uit ongeveer twintig mensen met een duidelijke taakverdeling. “Een kleine kern van leidende operators verantwoordelijk voor de meeste inbraken met grote impact, ondersteund door specialisten en ondersteunend personeel”, voegde het eraan toe.
Daarnaast wordt aangenomen dat de dreigingsactoren in het bezit zijn van minimaal één zero-day kwetsbaarheid in Nextcloud. Het dreigingsinformatiebedrijf zei dat het actief samenwerkt met de getroffen leverancier.

De onthulling komt op het moment dat eSentire zei dat het zag dat bedreigingsactoren een fout in Fortinet FortiClient EMS (CVE-2026-35616, CVSS-score: 9.1) misbruikten om een informatiedief genaamd EKZ Stealer in te zetten tegen een klant in de energie-, nuts- en afvalsector met als einddoel het verzamelen van inloggegevens van Chromium-gebaseerde browsers en Firefox en het exfiltreren ervan via PowerShell.