“[AI] Stephen Schmidt, CSO de Amazon, dijo con respecto al informe de AWS que encontró que más de 600 firewalls Fortinet FortiGate estaban comprometidos, lo que hace que ciertos tipos de ataques sean más accesibles para actores menos sofisticados que ahora pueden aprovechar la IA para mejorar sus capacidades y operar a mayor escala.
más de 600 Fortinet Cortafuegos FortiGate fue atacado Fue llevado a cabo por ciberdelincuentes “despistados” que utilizaron herramientas de IA generativa disponibles para difundir el ataque a más de 55 países, según un nuevo informe de incidentes de . Servicios web de Amazon.
“Lo que importa es cómo IA habilitada “Este actor operará a escala generando planes de ataque, desarrollando herramientas y automatizando operaciones, lo que anteriormente requeriría importantes recursos y experiencia técnica”, dijo Stephen Schmidt, vicepresidente senior y director de seguridad de Amazon, en una publicación de LinkedIn.
El informe de Amazon Threat Intelligence dijo que el atacante era un actor o grupo pequeño de habla rusa con capacidades técnicas limitadas y no estaba asociado con ningún grupo de amenazas con recursos respaldados por el estado.
“Esto es parte del patrón en el que vemos que la IA reduce la barrera de entrada. actores de amenazaDijo la ONG Amazon.
[Related: Andy Jassy On AWS’ $244B Backlog, Trainium4 And AI Chips Strategy]
“Esto hace que ciertos tipos de ataques sean más accesibles para actores menos avanzados, quienes ahora pueden aprovechar la IA para mejorar sus capacidades y operar a mayor escala”, añadió.
ataque cibernético Tuvo lugar entre el 11 de enero y el 18 de febrero de 2026 y comprometió a más de 600 dispositivos FortiGate en 55 países de África, Asia, América Latina y del Norte, y Europa.
CRN Se puso en contacto con Fortinet para comentar sobre el informe, pero no recibió respuesta cuando se publicó la noticia.
Uso de la inteligencia artificial por parte de los actores de amenazas
Los piratas cibernéticos han utilizado una variedad de servicios comerciales de inteligencia artificial generativa (GenAI) para implementar y escalar técnicas de ataque conocidas en cada etapa de sus operaciones. AWS.
Los piratas informáticos utilizaron al menos dos LLM comerciales para planificar ataques, crear herramientas y ayudar con la operación, incluidas evaluaciones de duración y tasa de éxito.
“Estos planes hacen referencia a investigaciones académicas sobre agentes ofensivos de IA e indican que el actor está siguiendo la literatura emergente sobre pruebas de penetración asistidas por IA”, dijo CJ Moses, director de seguridad de la información y vicepresidente de ingeniería de seguridad, en el informe de seguridad de AWS.
“La IA produce guiones técnicamente correctos, pero cuando las condiciones difieren del plan, el jugador tiene dificultades para adaptarse”, dijo Moses.
El actor de amenazas utilizó inteligencia artificial Crear metodologías de ataque integrales, completas con instrucciones de explotación paso a paso, tasas de éxito esperadas, estimaciones de tiempo y árboles de tareas priorizadas.
Un hacker sin experiencia ‘comprometió con éxito el entorno de múltiples organizaciones’
AWS dijo que el actor utiliza múltiples servicios de IA en funciones complementarias: uno actúa como desarrollador de herramientas principal, planificador de ataques y asistente operativo; y segundo, se utiliza como planificador de ataques complementario cuando el actor necesita ayuda para navegar dentro de una red comprometida específica.
“Es probable que se trate de un individuo o un grupo pequeño con motivación financiera que ha logrado mediante el aprovechamiento de la IA una escala operativa que antes requería un equipo mucho más grande y más capacitado”, dijo Moses.
“Sin embargo, según nuestro análisis de fuentes públicas, comprometieron con éxito los entornos de Active Directory de varias organizaciones, extrajeron bases de datos de credenciales completas y apuntaron a la infraestructura de respaldo, un precursor potencial de la distribución de ransomware”, dijo Moses.
Según el informe de AWS, la infraestructura de los piratas informáticos incluía numerosos scripts en múltiples lenguajes de programación que “llevan las características distintivas de la generación de IA, incluidos analizadores de configuración, herramientas de extracción de credenciales, automatización de conexiones VPN, orquestación de escaneo masivo y paneles de agregación de resultados”.
¿Cómo hicieron esto los ciberdelincuentes?
Los actores de amenazas escanearon las interfaces de administración de FortiGate expuestas a Internet e intentaron obtener acceso utilizando credenciales ampliamente reutilizadas.
Desarrollaron scripts de Python con tecnología de inteligencia artificial para analizar, descifrar y editar estas configuraciones robadas.
Una vez que obtuvieron acceso VPN a las redes de las víctimas, los ciberdelincuentes utilizaron una herramienta de reconocimiento especializada, posiblemente mejorada con servicios de inteligencia artificial, con diferentes versiones escritas tanto en Go como en Python.
El actor de amenazas aprovechó herramientas de ataque de código abierto, incluido el compromiso de dominio, utilizando Meterpreter en las redes de las víctimas; Usar herramientas de envenenamiento estándar y ejecución remota de comandos en hosts de Windows; e intenta explotar vulnerabilidades conocidas en los servidores de Veeam Backup & Replication.
“Específicamente, cuando se enfrentaba a entornos hostiles o medidas defensivas más complejas, este actor recurría a objetivos más fáciles en lugar de persistir, lo que subraya que su ventaja no radica en habilidades técnicas más profundas sino en una mayor eficiencia y escala con la IA”, dijo Moses.
“Los servicios comerciales de inteligencia artificial están permitiendo que incluso los actores de amenazas sin experiencia realicen ataques cibernéticos a escala, una tendencia que Amazon Threat Intelligence está siguiendo de cerca”, dijo Moses.
La infraestructura de AWS no participó en la campaña y FortiGate dijo que sus vulnerabilidades no fueron explotadas de ninguna manera.
Qué deben hacer los clientes de FortiGate
AWS dijo que los clientes que ejecutan dispositivos FortiGate deben tomar medidas inmediatas asegurándose de que sus interfaces de administración no estén expuestas a Internet.
El informe también establece que los clientes deben cambiar todas las credenciales comunes y predeterminadas en sus dispositivos FortiGate, incluidas las cuentas de usuario administrativas y de VPN.
Otras acciones que se deben tomar incluyen: auditar la reutilización de contraseñas entre las credenciales de FortiGate VPN y las cuentas de dominio de Active Directory; implementar autenticación multifactor para todos los accesos VPN; y devolver las credenciales de la cuenta de servicio.
“La IA está cambiando la seguridad en ambos lados de la ecuación, pero las organizaciones que combinan bases de seguridad sólidas con herramientas impulsadas por la IA están bien posicionadas para mantenerse a la vanguardia”, dijo Schmidt, CSO de Amazon.
