Laut SentinelOne verschaffen sich die Angreifer Zugang zu den FortiGate-Geräten entweder über bekannte Schwachstellen oder über Fehlkonfigurationen. Konkret nennen die Forscher Alex Delamotte, Stephen Bromfield, Mary Braden Murphy und Amey Patne die Sicherheitslücken CVE-2025-59718, CVE-2025-59719 und CVE-2026-24858. Ist der Zugriff einmal hergestellt, lassen sich die in der Konfigurationsdatei hinterlegten Dienstkonten missbrauchen, die mit der Authentifizierungsinfrastruktur des Netzwerks verbunden sind.

In einem dokumentierten Fall drangen die Angreifer in diesem Monat in eine FortiGate-Appliance ein und legten dort ein neues lokales Administratorkonto mit dem Namen “support” an. Über dieses Konto richteten sie vier neue Firewall-Regeln ein, die es ihnen erlaubten, alle Zonen ohne Einschränkung zu durchqueren. Anschließend prüften die Täter wiederholt, ob das Gerät weiterhin erreichbar war – ein Verhalten, das laut SentinelOne typisch für einen Initial Access Broker (IAB) ist, der sich einen Zugang sichert, um ihn an andere Kriminelle weiterzuverkaufen.

Die nächste Phase dieses Angriffs wurde Monate später erkannt, als ein Angreifer vermutlich die Konfigurationsdatei mit den verschlüsselten LDAP-Zugangsdaten des Dienstkontos auslas. Den Forschern zufolge authentifizierte sich der Angreifer mit Klartext-Zugangsdaten des Dienstkontos “fortidcagent” am Active Directory, was darauf hindeutet, dass er die Konfigurationsdatei entschlüsselt und die Anmeldedaten extrahiert hatte. Mit diesem Dienstkonto meldete er anschließend manipulierte Arbeitsstationen im Active Directory an und verschaffte sich so tieferen Zugriff. Der Einbruch fiel auf, als der Angreifer mit dem Scannen des Netzwerks begann; die weitere seitliche Ausbreitung wurde daraufhin gestoppt.

Ein zweiter Vorfall, den SentinelOne untersuchte, verlief deutlich schneller: Hier gelangten die Angreifer vom Firewall-Zugang umgehend zum Einsatz von Fernzugriffswerkzeugen wie Pulseway und MeshAgent. Zudem lud der Täter über PowerShell Schadsoftware aus einem Cloud-Speicher-Bucket der Amazon-Web-Services-Infrastruktur (AWS) herunter.

Die über DLL-Side-Loading gestartete Java-Malware diente dazu, den Inhalt der Datei NTDS.dit sowie den Registry-Bereich SYSTEM über Port 443 an einen externen Server (“172.67.196[.]232”) auszuleiten. SentinelOne betont jedoch, zwischen dem Abgreifen der Daten und der Eindämmung des Vorfalls sei keine Nutzung der erbeuteten Zugangsdaten festgestellt worden – auch wenn der Täter möglicherweise versucht habe, Passwörter daraus zu knacken.

NGFW-Appliances seien weit verbreitet, weil sie Firewall-Funktionen mit Verwaltungsmerkmalen wie der Active-Directory-Anbindung kombinierten, so SentinelOne. Eben dadurch würden sie zu hochwertigen Zielen für Angreifer unterschiedlichster Motivation und Fähigkeit – von staatlich ausgerichteter Spionage bis zu finanziell motivierten Ransomware-Angriffen.