Cybersecurity-onderzoekers vestigen de aandacht op een nieuwe campagne waarin bedreigingsactoren FortiGate Next-Generation Firewall (NGFW)-apparaten misbruiken als toegangspunten om slachtoffernetwerken te doorbreken.
De activiteit omvat de exploitatie van recentelijk onthulde beveiligingsproblemen of zwakke inloggegevens om configuratiebestanden met serviceaccountgegevens en netwerktopologie-informatie te extraheren, aldus SentinelOne in een vandaag gepubliceerd rapport. De beveiligingsorganisatie zei dat de campagne omgevingen heeft uitgekozen die verband houden met gezondheidszorg, overheid en beheerde dienstverleners.
“FortiGate-netwerkapparaten hebben aanzienlijke toegang tot de omgevingen die ze moeten beschermen”, zeggen beveiligingsonderzoekers Alex Delamotte, Stephen Bromfield, Mary Braden Murphy en Amey Patne. “In veel configuraties omvat dit serviceaccounts die zijn verbonden met de authenticatie-infrastructuur, zoals Active Directory (AD) en Lightweight Directory Access Protocol (LDAP).”
“Deze opstelling kan het apparaat in staat stellen rollen toe te wijzen aan specifieke gebruikers door attributen op te halen over de verbinding die wordt geanalyseerd en te correleren met de Directory-informatie, wat handig is in gevallen waarin op rollen gebaseerd beleid is ingesteld of voor het verhogen van de reactiesnelheid op netwerkbeveiligingswaarschuwingen die door het apparaat worden gedetecteerd.”
Het cyberbeveiligingsbedrijf merkte echter op dat dergelijke toegang kan worden uitgebuit door aanvallers die in FortiGate-apparaten inbreken via bekende kwetsbaarheden (bijvoorbeeld CVE-2025-59718, CVE-2025-59719 en CVE-2026-24858) of verkeerde configuraties.
Bij één incident zouden de aanvallers in november 2025 een FortiGate-apparaat hebben binnengedrongen om een nieuw lokaal beheerdersaccount met de naam ‘support’ te maken en dit hebben gebruikt om vier nieuwe firewallbeleidsregels in te stellen waarmee het account zonder enige beperking alle zones kon doorkruisen.
De bedreigingsacteur bleef vervolgens periodiek controleren of het apparaat toegankelijk was, een actie die consistent was met een initiële toegangsmakelaar (IAB) die voet aan de grond kreeg en het aan andere criminele actoren verkocht voor geldelijk gewin. De volgende fase van de activiteit werd gedetecteerd in februari 2026, toen een aanvaller waarschijnlijk het configuratiebestand uitpakte met de LDAP-inloggegevens van het gecodeerde serviceaccount.
“Bewijs toont aan dat de aanvaller zich bij de AD heeft geauthenticeerd met behulp van duidelijke tekstreferenties van het fortidcagent-serviceaccount, wat suggereert dat de aanvaller het configuratiebestand heeft gedecodeerd en de inloggegevens van het serviceaccount heeft uitgepakt”, aldus SentinelOne.
De aanvaller gebruikte vervolgens het serviceaccount om zich te authenticeren in de omgeving van het slachtoffer en malafide werkstations in te schrijven in de AD, waardoor ze diepere toegang kregen. Na deze stap werd een netwerkscan gestart, waarna de inbreuk werd gedetecteerd en verdere zijwaartse beweging werd stopgezet.
In een ander geval dat eind januari 2026 werd onderzocht, schakelden aanvallers snel over van firewalltoegang naar het inzetten van tools voor externe toegang zoals Pulseway en MeshAgent. Bovendien downloadde de bedreigingsacteur malware uit een cloudopslagbucket via PowerShell van de Amazon Web Services (AWS)-infrastructuur.
De Java-malware, gelanceerd via DLL side-loading, werd gebruikt om de inhoud van het NTDS.dit-bestand en de SYSTEM-registercomponent naar een externe server (“172.67.196(.)232”) via poort 443 te exfiltreren.
“Hoewel de acteur mogelijk heeft geprobeerd wachtwoorden uit de gegevens te kraken, is dergelijk gebruik van inloggegevens niet geïdentificeerd tussen het moment van het verzamelen van de inloggegevens en het indammen van incidenten”, voegde SentinelOne eraan toe.
“NGFW-apparaten zijn alomtegenwoordig geworden omdat ze organisaties krachtige netwerkmonitoringmogelijkheden bieden door beveiligingscontroles van een firewall te integreren met andere beheerfuncties, zoals AD”, aldus het rapport. “Deze apparaten zijn echter waardevolle doelwitten voor actoren met een verscheidenheid aan motivaties en vaardigheidsniveaus, van staatsgebonden actoren die spionage uitvoeren tot financieel gemotiveerde aanvallen zoals ransomware.”
