Gli esperti di SOCRadar hanno rivelato nuovi dettagli sulla campagna FortiBleed, che ha colpito decine di migliaia di dispositivi Fortinet. Gli investigatori hanno scoperto che i criminali informatici hanno attaccato centinaia di firewall FortiGate, installando su di essi custom sniffers per intercettare credenziali di accesso. Questi dati potevano poi essere rivenduti ad altri malintenzionati.
La campagna è in corso almeno dal febbraio 2026 e ha coinvolto oltre 430.000 dispositivi FortiGate in tutto il mondo. Precedentemente, si era appreso che FortiBleed aveva colpito più di 80.000 firewall e VPN gateway in 194 paesi, con 19.000 di questi ancora monitorati dagli hacker.
Inizialmente si pensava che l’operazione fosse mirata esclusivamente ai prodotti Fortinet. Tuttavia, le indagini hanno dimostrato che gli attacchi sono stati estesi anche a NAS Synology, firewall Sophos, portali RDWeb, Citrix SSL-VPN, istanze RDP aperte e server MS-SQL.
Per identificare i sistemi accessibili da internet, gli hacker utilizzano Masscan, Shodan e strumenti proprietari. Inizialmente si concentravano su attacchi di tipo brute force alle interfacce amministrative, SSL-VPN e SSH, utilizzando attacchi a dizionario e credenziali provenienti da precedenti violazioni.
Successivamente, hanno iniziato a sfruttare vecchie vulnerabilità in FortiGate che permettono di bypassare l’autenticazione e prendere il controllo dei dispositivi. Fortinet ha sospettato l’uso delle vulnerabilità CVE-2026-24858, CVE-2025-59718 e CVE-2025-59719.
Gli investigatori hanno scoperto che inizialmente gli attaccanti estraevano password e hash direttamente dalle configurazioni dei dispositivi FortiGate compromessi. Tuttavia, a maggio la strategia si è complicata con l’installazione di uno strumento scritto in Go chiamato FortigateSniffer. Questo sniffer sfrutta il comando diagnostico di FortiOS diagnose sniffer packet per monitorare passivamente il traffico attraverso il firewall su 24 protocolli diversi, tra cui Kerberos, LDAP, SMB, RADIUS, RDP, WinRM, SMTP, FTP, MySQL e Microsoft SQL Server.
FortigateSniffer ruba password in chiaro, hash NTLM e Kerberos, ticket, token e altre credenziali di autenticazione. Questi hash vengono inviati a un’infrastruttura distribuita degli attaccanti, dove vengono decifrati utilizzando GPU-cluster con Hashcat e Hashtopolis. Le credenziali ottenute vengono automaticamente verificate e utilizzate per muoversi all’interno della rete, eseguire ricognizioni in Active Directory e accedere alle risorse di rete. Inoltre, gli hacker rubano i cookie di sessione per mantenere l’accesso ai servizi già compromessi.
Gli analisti di SOCRadar hanno identificato centinaia di server utilizzati dagli attaccanti, che hanno eseguito almeno 659 cicli di raccolta dati, processando oltre 110 milioni di credenziali. Tra queste, ci sono 14,8 milioni di record RADIUS, 924.000 hash NTLM, 130.000 hash Kerberos e 89 milioni di token di autenticazione MySQL.
La base dati iniziale con decine di migliaia di password per dispositivi Fortinet sembra essere solo una piccola parte delle informazioni raccolte dagli hacker. Non è chiaro quanti dati siano effettivamente rimasti in loro possesso.
Gli esperti suggeriscono che gli attaccanti potrebbero aver utilizzato la piattaforma AI CyberStrike durante lo sviluppo di alcuni componenti dell’attacco.
L’infrastruttura degli hacker operava con cicli di cinque ore: caricava l’elenco regionale delle vittime e verificava le credenziali in mille flussi paralleli. Il sniffer veniva attivato solo per determinati intervalli di indirizzi IP e funzionava dalle 07:00 alle 18:00 ora di Mosca.
I principali obiettivi della campagna FortiBleed erano aziende con meno di 200 dipendenti, soprattutto negli Stati Uniti e in India. Particolare attenzione è stata dedicata ai fornitori IT e agli MSP, poiché la compromissione di tali compagnie offre un accesso diretto alle reti dei loro clienti.
Ad esempio, il 15 giugno gli hacker hanno rubato hash Kerberos e dati DFS backup da un subappaltatore della difesa legato alla NATO. Gli esperti di SOCRadar ritengono che dietro FortiBleed possa esserci un broker di accesso che collabora con gruppi hacker governativi, anche se non è esclusa la possibilità che gli accessi siano venduti a ransomware o altri criminali.
Gli specialisti di Palo Alto Networks Unit 42 collegano questa campagna al broker russo noto come SantaAd, sebbene altre indagini non abbiano ancora confermato questa attribuzione.
Ricercatore di sicurezza informatica con esperienza nell’analisi delle vulnerabilità, nella mitigazione del rischio cyber, nelle attività di red teaming ed ethical hacking e nella protezione di sistemi complessi. Specializzato in penetration testing e Threat Intelligence, contribuisce al rafforzamento della resilienza digitale di infrastrutture e reti aziendali.
Aree di competenza: Penetration Testing, Threat Intelligence, Red Teaming, Vulnerability Assessment, Incident Response