Entdeckt wurde das offen zugängliche Material laut Bob Diachenko auf einem Server, der nach seiner Darstellung gültig wirkende Fortinet-VPN-Zugangsdaten enthielt. In den von ihm veröffentlichten Bildschirmfotos und Angaben finden sich Benutzernamen, E-Mail-Adressen und Passwörter im Klartext. Diachenko schrieb auf LinkedIn, er habe eine massive Brute-Force- und aktive Ausnutzungskampagne gegen Fortinet- und FortiGate-Systeme aufgedeckt.

Nach seinen Angaben enthielten die Dateien nicht nur Zugangsdaten, sondern auch Kommentare mit Branche, Umsatz und Mitarbeiterzahl der jeweiligen Organisationen. Diachenko wertete das als mögliche Vorbereitung weiterer Angriffe. Später ergänzte er, die Operation sei von einer russischsprachigen Bedrohungsgruppe mit mehreren Akteuren durchgeführt worden, die Zugangsdaten für FortiGate-SSL-VPN-Geräte gesammelt habe.

Diachenko zufolge führten die Angreifer rund 1,16 Milliarden Anmeldeversuche gegen 320.777 FortiGate-Ziele und weitere 2,1 Milliarden Versuche gegen 163.650 Microsoft-SQL-Server-Systeme durch. Er erklärte außerdem, die Täter hätten Authentifizierungs-Hashes von SSL-VPNs abgefangen, diese mit einem 45-GPU-Cluster unter Hashtopolis geknackt und die wiedergewonnenen Zugangsdaten für laterale Bewegungen in interne Active-Directory-Umgebungen genutzt. Gegenüber BleepingComputer sagte Diachenko, er habe diese Details aus weiteren Dateien gewonnen, die auf demselben Server versehentlich offen zugänglich gewesen seien, darunter Artefakte, Verbindungszeichenfolgen, Werkzeuge, Skripte, Daten, Cronjob-Auswertungen, Bash-Historien und Protokolle.

Hudson Rock hat den von Diachenko erhaltenen Datensatz anschließend ebenfalls untersucht. Das Unternehmen bezeichnet die Sammlung als eine der größten bekannten Ansammlungen kompromittierter Fortinet-bezogener Zugangsdaten. Nach Angaben von Hudson Rock umfasst sie 73.932 eindeutige Firewall-URLs in 194 Ländern und betrifft 21.632 eindeutige Domains. Die Angreifer hätten detaillierte Protokolle erfolgreicher Kompromittierungen geführt und eine Datenbank mit verifizierten Zugangsdaten für Organisationen aus nahezu allen großen Branchen aufgebaut.

Laut Hudson Rock weisen die meisten betroffenen Geräte eine geografische Verteilung mit Schwerpunkten in Indien, den USA, Taiwan, Mexiko, der Türkei, Thailand, Kolumbien, Malaysia, Chile und den Vereinigten Arabischen Emiraten auf. Zu den häufigsten Sektoren der gelisteten Unternehmen zählen Telekommunikation, IT-Dienstleistungen, Finanzdienstleistungen, Behörden, Gesundheitswesen, Bildungseinrichtungen und Fertigung.

Kevin Beaumont hat Teile des Datensatzes unabhängig geprüft und BleepingComputer gesagt, dass einige der Zugangsdaten authentisch seien. Nach weiterer Analyse der von Hudson Rock geteilten Daten schrieb er, der Bestand umfasse Zugangsdaten für rund 75.000 Fortinet-Geräte, von denen die meisten weiterhin online seien. Beaumont zufolge deuten die enthaltenen Informationen, darunter E-Mail-Adressen, darauf hin, dass die Daten aus exportierten Fortinet-Konfigurationen stammen, weil solche Angaben typischerweise nur dort zugänglich sind.

Beaumont erklärte zudem, die betroffenen IP-Adressen unterschieden sich von denen aus dem Fortinet-Leak der Belsen Group aus dem Jahr 2025. Das spreche dafür, dass es sich um eine neuere und größere Sammlung kompromittierter Geräte handelt. Auf Basis von Netzwerkdaten von Shodan sagte Beaumont außerdem, das Leck umfasse ungefähr die Hälfte aller direkt aus dem Internet erreichbaren Fortinet-Firewalls. Die Mehrheit der betroffenen Systeme stelle ihre FortiGate-Managementschnittstellen direkt ins Internet.

Unklar bleibt, wie die Konfigurationsdaten ursprünglich erlangt wurden. Weder Diachenko noch Hudson Rock oder Beaumont konnten nach eigenen Angaben klären, ob sie über bereits bekannte Fortinet-Schwachstellen, eine neue Lücke oder auf anderem Weg entwendet wurden. Hudson Rock hat ein kostenloses Nachschlagewerk zu „FortiBleed“ veröffentlicht, mit dem Organisationen prüfen können, ob sie betroffen sind. Fortinet wurde von BleepingComputer zu dem Datensatz kontaktiert; eine Stellungnahme lag zunächst nicht vor.