Nach Angaben von SOCRadar begann die Operation mit systematischen Scans des Internets nach exponierten Fortinet-Geräten. Die Angreifer versuchten demnach, mit bekannten Kombinationen aus Zugangsdaten in die Systeme einzudringen, und installierten anschließend eigene Paket-Sniffer, um Anmeldedaten und andere Authentifizierungsinformationen passiv aus dem Netzwerkverkehr abzugreifen.

Die Kampagne soll weltweit auf 430.000 FortiGate-Firewalls gezielt haben. Dabei seien mehr als 110 Millionen Zugangsdaten gesammelt worden. Der in Golang geschriebene Sniffer sei schätzungsweise auf etwa 12.000 Fortinet-Geräten installiert worden und stelle damit nur einen Teil der insgesamt angegriffenen Netzwerktechnik dar.

Die neuen Funde stützen sich laut SOCRadar auf einen von 200 neu entdeckten Servern, die der FortiBleed-Infrastruktur zugeordnet werden. Dieser Server habe Einblick in interne Dateien, Protokolle und operative Dokumentation gewährt. Auf dieser Grundlage stellte die Firma fest, dass ein Operator mit Zugriff auf die Infrastruktur sowohl bei den Verhandlungspanels von INC Ransom als auch von Lynx angemeldet war. Zudem hätten sich von INC Ransom gelistete Opfer mit Daten aus der Kampagne überschnitten.

Werkzeuge, Protokolle und Arbeitszeiten sprechen SOCRadar zufolge dafür, dass hinter der Aktivität ein russischsprachiger Bedrohungsakteur steckt, der wahrscheinlich als Initial-Access-Broker arbeitet. Ein großer Teil der Zielauswahl betraf demnach die Fertigungs-, Technologie- und Logistikbranche in Lateinamerika sowie in der Region Asien-Pazifik.

Hinzu kommt laut SOCRadar ein internes Dokument, das auf eine organisierte Struktur mit rund 20 Personen und klarer Arbeitsteilung hindeutet. „Ein kleiner Kern führender Operatoren treibt die meisten folgenreichen Eindringlinge voran, unterstützt von Spezialisten und Hilfskräften“, teilte das Unternehmen mit.

Außerdem gehen die Forscher davon aus, dass die Angreifer mindestens über eine Zero-Day-Schwachstelle in Nextcloud verfügen. Die Threat-Intelligence-Firma erklärte, sie koordiniere dies aktiv mit dem betroffenen Hersteller.

Parallel dazu berichtete eSentire, Bedrohungsakteure hätten bei einem Kunden aus den Bereichen Energie, Versorgung und Abfallwirtschaft eine Schwachstelle in Fortinet FortiClient EMS ausgenutzt. Über die Lücke CVE-2026-35616 mit einem CVSS-Wert von 9,1 sei der Infostealer EKZ Stealer verteilt worden. Ziel sei es gewesen, Zugangsdaten aus Chromium-basierten Browsern und Firefox zu sammeln und sie per PowerShell abzuleiten.