Er wordt aangenomen dat een Russisch sprekende initiële toegangsmakelaar (IAB), gedreven door financieel gewin, achter een grootschalige operatie voor het verzamelen van inloggegevens zit, bekend als FortiBleed dat zich wereldwijd op ruim 430.000 FortiGate-firewalls heeft gericht.
De campagne, die sinds februari 2026 actief is, omvat het verzamelen van lijsten met inloggegevens, het zoeken naar blootgestelde services, het bruut forceren van toegankelijke systemen en het inzetten van op maat gemaakte sniffers op gecompromitteerde firewalls.
“Eenmaal ingezet, vangen deze sniffers heldere tekst en gehashte inloggegevens op van verkeer dat via gecompromitteerde apparaten loopt”, aldus SOCRadar (PDF) in een nieuw rapport. “De actoren kraken, valideren en hergebruiken vervolgens de inloggegevens voor Active Directory-domeinen en andere blootgestelde services.”
Centraal in de operatie staat een op Golang gebaseerd hulpmiddel genaamd FortigateSniffer dat gebruik maakt van het ingebouwde diagnostische commando -diagnose sniffer-pakket van FortiOS om op passieve wijze authenticatieverkeer van de geïnfecteerde apparaten vast te leggen. De tool is ontworpen om verkeer via 24 protocollen te monitoren, authenticatiegegevens te parseren en de inloggegevens te extraheren.
Er wordt vermoed dat de bedreigingsactoren mogelijk de hulp hebben ingeroepen van een open-source, AI-native offensief beveiligingsplatform genaamd CyberStrike om te helpen met sommige ‘delen van de workflow’. Interessant is dat een ander open source-framework, CyberStrikeAI genaamd, werd gebruikt in verband met een andere geautomatiseerde massale scancampagne gericht op FortiGate-apparaten die Amazon Threat Intelligence eerder dit jaar aan het licht bracht.
“De campagne toont een sterke focus op kleine en middelgrote bedrijven (MKB) met minder dan 200 werknemers”, legt de SOCRadar uit. “De actor richt zich op meerdere sectoren en regio’s, met opmerkelijke nadruk op de Verenigde Staten en India. De IT-dienstensector lijkt een belangrijk doelwit te zijn. Deze targetingkeuze helpt de actor waarschijnlijk de downstream-toegang te maximaliseren, aangezien gecompromitteerde dienstverleners toegangspaden kunnen creëren tot klantomgevingen.”
Misschien wel de meest interessante bevinding is dat FortiBleed deel lijkt uit te maken van een bredere, initiële toegangsoperatie van meerdere leveranciers die niet alleen gericht is op Fortinet-apparaten, maar ook inbreuk maakt op Synology NAS, Sophos-firewalls, RDWeb-portals, Citrix SSL-VPN’s en MS-SQL-servers die sinds 28 februari 2026 gebruik maken van geautomatiseerde brute-forcering.
In totaal hebben de aanvallers op 31 mei en 15 juni 2026 naar schatting niet minder dan 659 pijplijnen voor het verzamelen van inloggegevens gelanceerd, wat heeft geresulteerd in de identificatie van meer dan 110 miljoen inloggegevens. Dit omvatte –
- 14,8 miljoen RADIUS-referenties (Remote Authentication Dial-In User Service).
- 924.000 NTLM-hashes
- 130.000 Kerberos-hashes
- 89 miljoen MySQL-authenticatietokens
De FortiBleed-campagne verloopt in vijf fasen:
- Voer wijdverbreide verkenningen uit met behulp van tools als Masscan en Shodan om kwetsbare FortiGate-firewalls voor internet te identificeren, gevolgd door het gebruik van een aangepast hulpprogramma genaamd FortiProbe-fast en GeoSplit om FortiGate-systemen te filteren en ze respectievelijk op land te groeperen.
- Compromiseer de apparaten met een credential checker genaamd “forticheck” die specifiek gericht is op het administratieve paneel en het SSL-VPN-portaal van FortiGate, samen met het gebruik van tools om administratieve SSH-toegang te verkrijgen via credential stuffing en woordenboekaanvallen.
- Bij het tot stand brengen van toegang via SSH wordt FortigateSniffer ingezet om passief authenticatieverkeer te onderscheppen over 24 protocollen (bijv. TACACS+, Kerberos, RPC, SMB, LDAP, SMTP, FTP, Telnet, RDP, WinRM, MS-SQL, MySQL, PostgreSQL en RADIUS) met behulp van native FortiOS diagnostische commando’s, waardoor het mogelijk wordt om cleartext-referenties en wachtwoord-hashes te verzamelen.
- De wachtwoord-hashes worden gekraakt met behulp van Hashmat en Hashtopolis, en georkestreerd door een Telegram-bot genaamd HASHBOT, waarna ze worden gebruikt voor laterale verplaatsing en Active Directory-opsomming.
- Gevoelige gegevens van netwerkshares worden geëxfiltreerd, terwijl gestolen sessiecookies worden gebruikt om permanente, geverifieerde toegang te behouden.
‘De groep behandelt niet alle doelwitten gelijk’, zei SOCRadar. “In plaats daarvan worden doelen gerangschikt op basis van economische waarde voordat exploitatiemiddelen worden toegewezen.”
Bovendien bevat het sniffing-mechanisme een geofencing-filter dat de bewerkingen beperkt tot specifieke IP-bereiken, om nog maar te zwijgen van het beperken van de activiteit tot tussen 07.00 uur en 18.00 uur Moskouse tijd. Volgens gegevens verzameld door SpyCloud zou de FortiGate-gerelateerde capture-cyclus zijn begonnen op 19 mei 2026, waarbij de hash-kraakinfrastructuur tegen het einde van de maand werd opgezet.
“De operatie verloopt in een pijplijn van cycli van 300 minuten (vijf uur), met een status van elke minuut”, aldus Zenox. “In elke cyclus laadt het een regionale doellijst (…) en valideert het met 1.000 gelijktijdige threads, waarbij de tellers van succes, mislukking, time-out en waarschuwing worden weergegeven. In de eerste cycli schommelde het succesvolle validatiepercentage rond de 90%.”
Het Braziliaanse cyberbeveiligingsbedrijf zei ook dat het ontdekte dat bepaalde gebruikersnaam- en wachtwoordparen werden herhaald op duizenden verschillende IP-adressen, waardoor de mogelijkheid ontstond dat de accounts door de aanvaller waren geplant als een clandestiene achterdeur.
De ontwikkeling komt doordat een Russisch sprekend account met de naam “SantaAd” toegang tot duizenden Fortinet-apparaten heeft geadverteerd voor een startprijs van $30.000, voordat deze uren later werd verhoogd naar $60.000. Het is echter onduidelijk of dit enig verband heeft met de blootstelling aan FortiBleed.
“De groep bedreigingsactoren achter ‘FortiBleed’ richtte zich niet alleen op FortiGate VPN’s”, aldus SpyCloud. “Ze richtten zich feitelijk op een reeks verschillende internetgerichte apparaten met een standaard spray-and-pray-aanvalsketen die grotendeels afhankelijk is van massale scanning en brute force logins.”
