Im Zentrum der FortiBleed-Kampagne steht laut SOCRadar ein in Golang geschriebenes Werkzeug namens FortigateSniffer. Es missbraucht den in FortiOS integrierten Diagnosebefehl „-diagnose sniffer packet“, um Authentifizierungsverkehr auf infizierten Appliances passiv mitzuschneiden. Das Tool überwacht demnach 24 Protokolle, analysiert Authentifizierungsdaten und extrahiert daraus Zugangsdaten.

SOCRadar beschreibt die Operation als mehrstufige Angriffskette. Die Gruppe behandle ihre Ziele nicht gleich, sondern stufe sie zunächst nach wirtschaftlichem Wert ein, bevor Ressourcen für die Ausnutzung zugewiesen werden. Ein Schwerpunkt liege auf kleinen und mittleren Unternehmen mit weniger als 200 Beschäftigten. Betroffen seien mehrere Branchen und Regionen, mit besonderem Fokus auf die USA und Indien. Vor allem der IT-Dienstleistungssektor sei ein wichtiges Ziel, so SOCRadar.

Nach Einschätzung der Forscher ist FortiBleed Teil einer breiteren Initial-Access-Operation über mehrere Hersteller hinweg. Seit dem 28. Februar 2026 sollen die Akteure neben Fortinet-Geräten auch Synology-NAS, Sophos-Firewalls, RDWeb-Portale, Citrix-SSL-VPNs und MS-SQL-Server mit automatisierten Brute-Force-Angriffen kompromittieren wollen. SpyCloud betont ebenfalls, dass die Gruppe nicht nur FortiGate-VPNs angegriffen habe, sondern eine Reihe internetexponierter Appliances mit einer standardisierten „Spray-and-Pray“-Kette aus Massenscans und Brute Force.

In Summe sollen die Angreifer am 31. Mai und 15. Juni 2026 mindestens 659 Pipelines zum Abgreifen von Zugangsdaten gestartet haben. Das habe zur Identifizierung von mehr als 110 Millionen Zugangsdaten geführt. Laut Zenox läuft die Operation in Zyklen von 300 Minuten, also fünf Stunden, mit Statusmeldungen im Minutentakt. In jedem Zyklus werde eine regionale Zielliste geladen und mit 1.000 gleichzeitigen Threads validiert. In den ersten Zyklen habe die Erfolgsquote bei der Validierung bei rund 90 Prozent gelegen.

Die Mitschnittsmechanik enthält zudem einen Geofencing-Filter, der die Aktivität auf bestimmte IP-Bereiche beschränkt. Hinzu kommt ein Zeitfenster zwischen 7 und 18 Uhr Moskauer Zeit. Nach von SpyCloud erfassten Daten begann der auf FortiGate bezogene Mitschnittzyklus am 19. Mai 2026; die Infrastruktur zum Knacken von Hashes sei gegen Monatsende aufgebaut worden.

SOCRadar hält es für möglich, dass die Angreifer sich bei Teilen des Arbeitsablaufs von der quelloffenen, KI-nativen Offensiv-Sicherheitsplattform CyberStrike unterstützen ließen. Bemerkenswert ist dabei, dass ein anderes Open-Source-Framework namens CyberStrikeAI bereits in Verbindung mit einer weiteren automatisierten Massen-Scan-Kampagne gegen FortiGate-Geräte eingesetzt wurde, die Amazon Threat Intelligence früher in diesem Jahr offengelegt hatte.

Zenox teilte außerdem mit, bestimmte Kombinationen aus Benutzername und Passwort über Tausende unterschiedliche IP-Adressen hinweg mehrfach gefunden zu haben. Das werfe die Möglichkeit auf, dass diese Konten von den Angreifern selbst als verdeckter Hintereingang platziert wurden.

Parallel dazu bot ein russischsprachiges Konto namens „SantaAd“ Zugänge zu Tausenden Fortinet-Geräten zu einem Einstiegspreis von 30.000 US-Dollar an und erhöhte den Preis wenige Stunden später auf 60.000 US-Dollar. Ob ein Zusammenhang mit FortiBleed besteht, ist laut Bericht unklar.