Investigadores de ciberseguridad han puesto el foco en una nueva campaña donde actores maliciosos abusan de dispositivos FortiGate Next-Generation Firewall (NGFW) como puntos de entrada para comprometer redes de víctimas. La actividad implica la explotación de vulnerabilidades de seguridad recientemente divulgadas o credenciales débiles para extraer archivos de configuración que contienen credenciales de cuentas de servicio e información de topología de red, según un informe publicado hoy por SentinelOne. La firma de seguridad indicó que la campaña ha afectado a entornos del sector sanitario, gubernamental y proveedores de servicios gestionados.
Los dispositivos de red FortiGate tienen un acceso considerable a los entornos que fueron instalados para proteger. En muchas configuraciones, esto incluye cuentas de servicio conectadas a la infraestructura de autenticación, como Active Directory (AD) y Lightweight Directory Access Protocol (LDAP).
Los investigadores Alex Delamotte, Stephen Bromfield, Mary Braden Murphy y Amey Patne señalaron que esta configuración puede permitir al dispositivo asignar roles a usuarios específicos obteniendo atributos de la conexión analizada y correlacionándolos con la información del directorio, lo cual es útil en casos donde se establecen políticas basadas en roles o para aumentar la velocidad de respuesta a alertas de seguridad de red detectadas por el dispositivo. Sin embargo, la compañía de ciberseguridad señaló que dicho acceso podría ser explotado por atacantes que ingresan a dispositivos FortiGate a través de vulnerabilidades conocidas (por ejemplo, CVE-2025-59718, CVE-2025-59719 y CVE-2026-24858) o malas configuraciones.
Incidente de noviembre de 2025
En un incidente, los atacantes supuestamente comprometieron un dispositivo FortiGate en noviembre de 2025 para crear una nueva cuenta de administrador local llamada "support" y la utilizaron para establecer cuatro nuevas políticas de firewall que permitían a la cuenta atravesar todas las zonas sin restricciones. Luego, el actor malicioso verificaba periódicamente la accesibilidad del dispositivo, una acción consistente con un corredor de acceso inicial (IAB) que establece una base y la vende a otros criminales por beneficio económico. La siguiente fase de la actividad se detectó en febrero de 2026, cuando un atacante probablemente extrajo el archivo de configuración que contenía credenciales LDAP cifradas de cuentas de servicio.
La evidencia demuestra que el atacante se autenticó en AD usando credenciales en texto claro de la cuenta de servicio fortidcagent, lo que sugiere que el atacante descifró el archivo de configuración y extrajo las credenciales de la cuenta de servicio.
El atacante luego aprovechó la cuenta de servicio para autenticarse en el entorno de la víctima e inscribir estaciones de trabajo rogue en AD, permitiéndole un acceso más profundo. Tras este paso, se inició un escaneo de red, momento en que se detectó la brecha y se detuvo el movimiento lateral.
Incidente de enero de 2026
En otro caso investigado a finales de enero de 2026, los atacantes pasaron rápidamente del acceso al firewall a implementar herramientas de acceso remoto como Pulseway y MeshAgent. Además, el actor malicioso descargó malware desde un bucket de almacenamiento en la nube mediante PowerShell desde la infraestructura de Amazon Web Services (AWS). El malware Java, lanzado mediante DLL side-loading, se utilizó para exfiltrar el contenido del archivo NTDS.dit y el hive del registro SYSTEM a un servidor externo ("172.67.196[.]232") a través del puerto 443.
Según SentinelOne, aunque el actor podría haber intentado descifrar contraseñas de los datos, no se identificó uso de esas credenciales entre la recolección y la contención del incidente. Delamotte indicó a The Hacker News que el equipo de Respuesta a Incidentes y Forense Digital (DFIR) de la compañía ha observado técnicas similares en otros casos, como el almacenamiento de archivos en rutas USOShared. Esto sugiere una campaña más amplia donde los dispositivos FortiGate no siempre se usan para el acceso inicial.
Actualmente no hay evidencia de que los dos incidentes mencionados sean obra del mismo actor malicioso, dadas las diferencias en las técnicas posteriores al compromiso. Por ejemplo, el primer incidente implicó unir estaciones de trabajo rogue a AD, mientras que el otro siguió una operación de movimiento lateral en múltiples etapas que se alinea con actividad previa a ransomware. No se pudo concluir que ese fuera el objetivo, ya que los ataques fueron bloqueados antes de implementar payloads de etapas posteriores.
Recomendaciones
Los hallazgos recuerdan que actores maliciosos de diversas motivaciones atacan activamente dispositivos perimetrales, convirtiéndolos en vías de acceso inicial para compromisos más profundos en redes empresariales. Un aspecto común que une ambos incidentes es la falta de registro adecuado en los firewalls, impidiendo comprender cómo y cuándo los atacantes obtuvieron acceso inicial. Se recomienda a las organizaciones mantener al menos 14 días de retención de registros y enviar todos los registros a un sistema de monitoreo de eventos e incidentes de seguridad (SIEM) para abordar escenarios donde un atacante pueda eliminarlos de una máquina local para encubrir sus huellas.
Los dispositivos NGFW se han vuelto ubicuos porque brindan sólidas capacidades de monitoreo de red para las organizaciones al integrar controles de seguridad de un firewall con otras funciones de gestión, como AD. Sin embargo, estos dispositivos son objetivos de alto valor para actores con diversas motivaciones y niveles de habilidad, desde actores alineados con estados que realizan espionaje hasta ataques financieramente motivados como ransomware.
(La historia se actualizó después de su publicación para incluir información adicional de SentinelOne.)
