Amazon предупреждает, что русскоязычный хакер использовал сразу несколько сервисов генеративного ИИ в рамках кампании, в ходе которой за пять недель были скомпрометированы более 600 межсетевых экранов FortiGate в 55 странах.
Согласно новому отчету CJ Moses, CISO подразделения Amazon Integrated Security, атаки происходили в период с 11 января по 18 февраля 2026 года и не опирались на эксплуатацию уязвимостей Fortinet.
Вместо этого злоумышленник нацеливался на открытые в интернет интерфейсы управления и слабые учетные данные без защиты MFA, а затем применял ИИ для автоматизации дальнейшего продвижения по сети.
По данным Moses, скомпрометированные устройства были зафиксированы в Южной Азии, Латинской Америке, Карибском регионе, Западной Африке, Северной Европе и Юго-Восточной Азии, а также в ряде других регионов.
В рамках атак злоумышленник сканировал интернет в поисках интерфейсов управления FortiGate, доступных на портах 443, 8443, 10443 и 4443. Выбор целей носил оппортунистический характер и не был привязан к конкретным отраслям.
Вместо использования zero-day уязвимостей, что часто встречается при атаках на FortiGate, применялись brute-force-атаки с распространенными паролями.
После компрометации устройств злоумышленник извлекал их конфигурационные файлы, содержащие:
Полученные конфигурации затем анализировались и расшифровывались с помощью инструментов на Python и Go, которые, по оценке исследователей, были созданы с использованием ИИ.
Анализ исходного кода выявил явные признаки AI-assisted разработки: избыточные комментарии, повторяющие имена функций, упрощенную архитектуру, чрезмерное внимание к форматированию в ущерб логике, наивный парсинг JSON через строковый поиск вместо корректной десериализации, а также заготовки для совместимости встроенных функций языков с пустой документацией.
Хотя инструменты были достаточны для конкретных задач злоумышленника, они плохо обрабатывали пограничные случаи — типичная черта AI-сгенерированного кода без серьезной доработки.
Эти инструменты автоматизировали разведку внутри скомпрометированных сетей: анализ таблиц маршрутизации, классификацию сетей по размеру, сканирование портов с помощью open-source-сканера gogo, выявление SMB-хостов и контроллеров домена, а также поиск HTTP-сервисов с использованием Nuclei.
Исследователи отмечают, что в более защищенных средах такие инструменты часто давали сбои.
Кампания также целенаправленно атаковала серверы Veeam Backup & Replication. Для этого применялись собственные PowerShell-скрипты, скомпилированные инструменты для извлечения учетных данных и попытки эксплуатации уязвимостей Veeam.
На одном из серверов, обнаруженных Amazon (212[.]11.64.250), был размещен PowerShell-скрипт с именем "DecryptVeeamPasswords.ps1", предназначенный для атак на систему резервного копирования.
Как отмечают в Amazon, злоумышленники часто атакуют инфраструктуру бэкапов до развертывания ransomware, чтобы исключить восстановление зашифрованных данных.
В "операционных заметках" атакующего также упоминались попытки эксплуатации ряда уязвимостей, включая CVE-2019-7192 (QNAP RCE), CVE-2023-27532 (Veeam information disclosure) и CVE-2024-40711 (Veeam RCE).
Отчет подчеркивает, что при столкновении с пропатченными или жестко настроенными системами злоумышленник неоднократно терпел неудачу и предпочитал переключаться на более простые цели.
Хотя Amazon оценивает технический уровень атакующего как низкий или средний, использование ИИ существенно усилило его возможности.
По данным исследователей, в ходе кампании применялись как минимум два провайдера больших языковых моделей для:
В одном из эпизодов злоумышленник передал ИИ полный внутренний ландшафт сети жертвы — IP-адреса, имена хостов, учетные данные и известные сервисы — с запросом помощи в дальнейшем распространении по сети.
Amazon отмечает, что кампания демонстрирует, как коммерческие ИИ-сервисы снижают порог входа для злоумышленников, позволяя им проводить атаки, выходящие за рамки их реальных навыков.
В качестве мер защиты компания рекомендует администраторам FortiGate не публиковать интерфейсы управления в интернете, включать MFA, не использовать одинаковые пароли для VPN и учетных записей Active Directory, а также усиливать защиту инфраструктуры резервного копирования.
Ранее Google сообщала, что злоумышленники активно используют Gemini AI на всех этапах кибератак — наблюдения, совпадающие с выводами Amazon.
Исследователь сообщил, что неверно настроенный сервер 212.11.64[.]250, также выявленный Amazon, содержал 1 402 файла, включая украденные конфигурации FortiGate, данные маппинга Active Directory, дампы учетных данных, отчеты об уязвимостях и документы по планированию атак.
Каталоги включали эксплойты для CVE, конфигурации FortiGate, шаблоны сканирования Nuclei и инструменты извлечения учетных данных Veeam. Два каталога — claude-0 и claude — содержали более 200 файлов с результатами задач Claude Code, diff-сессиями и кэшированными состояниями запросов.
Отдельная папка fortigate_27.123 (полный IP-адрес скрыт) содержала конфигурации и учетные данные, предположительно полученные с одного из скомпрометированных FortiGate-устройств.
Hunt.io Attack Capture showing the contents of the threat actor's server
Среди обнаруженных файлов находился кастомный MCP-сервер (Model Context Protocol) под названием ARXON, выступавший в роли моста между разведданными и коммерческими LLM. Публичных упоминаний ARXON найдено не было, что указывает на его индивидуальную разработку злоумышленником.
MCP-сервер выполнял функцию промежуточного слоя: он принимал данные, передавал их языковым моделям и затем использовал сгенерированные ответы совместно с другими инструментами. В рамках этой кампании MCP применялся для автоматизации посткомпрометационного анализа и планирования атак.
Дополнительно использовался Go-инструмент CHECKER2 — Docker-оркестратор, предназначенный для параллельного сканирования тысяч VPN-целей. Логи показывают более 2 500 потенциальных целей в 100+ странах.
По словам исследователя, данные разведки, собранные с FortiGate-устройств и внутренних сетей, передавались в ARXON, который затем обращался к языковым моделям вроде DeepSeek и Claude для генерации структурированных планов атак.
Эти планы включали инструкции по получению прав Domain Admin, рекомендации по поиску учетных данных, шаги по эксплуатации и указания по латеральному перемещению.
В ряде случаев Claude Code был настроен на самостоятельный запуск offensive-инструментов — включая Impacket, модули Metasploit и hashcat — без необходимости подтверждения каждой команды оператором.
Исследователь отмечает, что операция эволюционировала на протяжении нескольких недель: сначала использовался open-source-фреймворк HexStrike MCP, а примерно через восемь недель злоумышленник перешел на более автоматизированную и кастомизированную систему ARXON.
Отчет подтверждает оценку Amazon о том, что генеративный ИИ выступает в роли мультипликатора, позволяя злоумышленникам масштабировать вторжения с большей эффективностью. Аналогично подчеркивается необходимость приоритизировать патчинг пограничных устройств и аудит нетипичной активности SSH и создания VPN-аккаунтов.
Исследователь CronUp Security Герман Фернандес также обнаружил другой сервер с открытым каталогом, содержащим, предположительно, AI-сгенерированные инструменты для атак на FortiWeb.
Хотя эти инструменты, по всей видимости, не связаны напрямую с кампанией FortiGate, они вновь демонстрируют, как злоумышленники продолжают активно использовать ИИ для проведения атак.
источник
Согласно новому отчету CJ Moses, CISO подразделения Amazon Integrated Security, атаки происходили в период с 11 января по 18 февраля 2026 года и не опирались на эксплуатацию уязвимостей Fortinet.
Вместо этого злоумышленник нацеливался на открытые в интернет интерфейсы управления и слабые учетные данные без защиты MFA, а затем применял ИИ для автоматизации дальнейшего продвижения по сети.
По данным Moses, скомпрометированные устройства были зафиксированы в Южной Азии, Латинской Америке, Карибском регионе, Западной Африке, Северной Европе и Юго-Восточной Азии, а также в ряде других регионов.
Кампания взлома с использованием ИИ
Amazon узнала о кампании после обнаружения сервера, на котором размещались вредоносные инструменты для атак на Fortinet FortiGate.В рамках атак злоумышленник сканировал интернет в поисках интерфейсов управления FortiGate, доступных на портах 443, 8443, 10443 и 4443. Выбор целей носил оппортунистический характер и не был привязан к конкретным отраслям.
Вместо использования zero-day уязвимостей, что часто встречается при атаках на FortiGate, применялись brute-force-атаки с распространенными паролями.
После компрометации устройств злоумышленник извлекал их конфигурационные файлы, содержащие:
- учетные данные пользователей SSL-VPN с восстанавливаемыми паролями
- административные учетные данные
- политики межсетевого экрана и архитектуру внутренних сетей
- конфигурации IPsec VPN
- информацию о топологии сети и маршрутизации
Полученные конфигурации затем анализировались и расшифровывались с помощью инструментов на Python и Go, которые, по оценке исследователей, были созданы с использованием ИИ.
Анализ исходного кода выявил явные признаки AI-assisted разработки: избыточные комментарии, повторяющие имена функций, упрощенную архитектуру, чрезмерное внимание к форматированию в ущерб логике, наивный парсинг JSON через строковый поиск вместо корректной десериализации, а также заготовки для совместимости встроенных функций языков с пустой документацией.
Хотя инструменты были достаточны для конкретных задач злоумышленника, они плохо обрабатывали пограничные случаи — типичная черта AI-сгенерированного кода без серьезной доработки.
Эти инструменты автоматизировали разведку внутри скомпрометированных сетей: анализ таблиц маршрутизации, классификацию сетей по размеру, сканирование портов с помощью open-source-сканера gogo, выявление SMB-хостов и контроллеров домена, а также поиск HTTP-сервисов с использованием Nuclei.
Исследователи отмечают, что в более защищенных средах такие инструменты часто давали сбои.
Акцент на Active Directory и резервное копирование
Операционная документация на русском языке описывала использование Meterpreter и mimikatz для проведения DCSync-атак на контроллеры домена Windows и извлечения NTLM-хэшей из базы Active Directory.Кампания также целенаправленно атаковала серверы Veeam Backup & Replication. Для этого применялись собственные PowerShell-скрипты, скомпилированные инструменты для извлечения учетных данных и попытки эксплуатации уязвимостей Veeam.
На одном из серверов, обнаруженных Amazon (212[.]11.64.250), был размещен PowerShell-скрипт с именем "DecryptVeeamPasswords.ps1", предназначенный для атак на систему резервного копирования.
Как отмечают в Amazon, злоумышленники часто атакуют инфраструктуру бэкапов до развертывания ransomware, чтобы исключить восстановление зашифрованных данных.
В "операционных заметках" атакующего также упоминались попытки эксплуатации ряда уязвимостей, включая CVE-2019-7192 (QNAP RCE), CVE-2023-27532 (Veeam information disclosure) и CVE-2024-40711 (Veeam RCE).
Отчет подчеркивает, что при столкновении с пропатченными или жестко настроенными системами злоумышленник неоднократно терпел неудачу и предпочитал переключаться на более простые цели.
Хотя Amazon оценивает технический уровень атакующего как низкий или средний, использование ИИ существенно усилило его возможности.
По данным исследователей, в ходе кампании применялись как минимум два провайдера больших языковых моделей для:
- генерации пошаговых методик атак
- разработки кастомных скриптов на разных языках
- создания фреймворков разведки
- планирования латерального перемещения
- подготовки операционной документации
В одном из эпизодов злоумышленник передал ИИ полный внутренний ландшафт сети жертвы — IP-адреса, имена хостов, учетные данные и известные сервисы — с запросом помощи в дальнейшем распространении по сети.
Amazon отмечает, что кампания демонстрирует, как коммерческие ИИ-сервисы снижают порог входа для злоумышленников, позволяя им проводить атаки, выходящие за рамки их реальных навыков.
В качестве мер защиты компания рекомендует администраторам FortiGate не публиковать интерфейсы управления в интернете, включать MFA, не использовать одинаковые пароли для VPN и учетных записей Active Directory, а также усиливать защиту инфраструктуры резервного копирования.
Ранее Google сообщала, что злоумышленники активно используют Gemini AI на всех этапах кибератак — наблюдения, совпадающие с выводами Amazon.
Кастомный AI-инструментарий в основе атак
Отдельное исследование, опубликованное накануне в блоге Cyber and Ramen, раскрывает дополнительные технические детали того, как ИИ и большие языковые модели были напрямую интегрированы в кампанию.Исследователь сообщил, что неверно настроенный сервер 212.11.64[.]250, также выявленный Amazon, содержал 1 402 файла, включая украденные конфигурации FortiGate, данные маппинга Active Directory, дампы учетных данных, отчеты об уязвимостях и документы по планированию атак.
Каталоги включали эксплойты для CVE, конфигурации FortiGate, шаблоны сканирования Nuclei и инструменты извлечения учетных данных Veeam. Два каталога — claude-0 и claude — содержали более 200 файлов с результатами задач Claude Code, diff-сессиями и кэшированными состояниями запросов.
Отдельная папка fortigate_27.123 (полный IP-адрес скрыт) содержала конфигурации и учетные данные, предположительно полученные с одного из скомпрометированных FortiGate-устройств.
Hunt.io Attack Capture showing the contents of the threat actor's server
Среди обнаруженных файлов находился кастомный MCP-сервер (Model Context Protocol) под названием ARXON, выступавший в роли моста между разведданными и коммерческими LLM. Публичных упоминаний ARXON найдено не было, что указывает на его индивидуальную разработку злоумышленником.
MCP-сервер выполнял функцию промежуточного слоя: он принимал данные, передавал их языковым моделям и затем использовал сгенерированные ответы совместно с другими инструментами. В рамках этой кампании MCP применялся для автоматизации посткомпрометационного анализа и планирования атак.
Дополнительно использовался Go-инструмент CHECKER2 — Docker-оркестратор, предназначенный для параллельного сканирования тысяч VPN-целей. Логи показывают более 2 500 потенциальных целей в 100+ странах.
По словам исследователя, данные разведки, собранные с FortiGate-устройств и внутренних сетей, передавались в ARXON, который затем обращался к языковым моделям вроде DeepSeek и Claude для генерации структурированных планов атак.
Эти планы включали инструкции по получению прав Domain Admin, рекомендации по поиску учетных данных, шаги по эксплуатации и указания по латеральному перемещению.
В ряде случаев Claude Code был настроен на самостоятельный запуск offensive-инструментов — включая Impacket, модули Metasploit и hashcat — без необходимости подтверждения каждой команды оператором.
Исследователь отмечает, что операция эволюционировала на протяжении нескольких недель: сначала использовался open-source-фреймворк HexStrike MCP, а примерно через восемь недель злоумышленник перешел на более автоматизированную и кастомизированную систему ARXON.
Отчет подтверждает оценку Amazon о том, что генеративный ИИ выступает в роли мультипликатора, позволяя злоумышленникам масштабировать вторжения с большей эффективностью. Аналогично подчеркивается необходимость приоритизировать патчинг пограничных устройств и аудит нетипичной активности SSH и создания VPN-аккаунтов.
Исследователь CronUp Security Герман Фернандес также обнаружил другой сервер с открытым каталогом, содержащим, предположительно, AI-сгенерированные инструменты для атак на FortiWeb.
Хотя эти инструменты, по всей видимости, не связаны напрямую с кампанией FortiGate, они вновь демонстрируют, как злоумышленники продолжают активно использовать ИИ для проведения атак.
источник
