Ein finanziell motivierter, russischsprachiger Angreifer hat mit Hilfe von kommerziellen KI-Tools über 600 FortiGate-Firewalls in 55 Ländern kompromittiert. Amazon Threat Intelligence dokumentierte die Kampagne von Januar bis Februar 2026 und zeigte, wie schwache Sicherheitsgrundlagen es dem technisch weniger versierten Akteur ermöglichten, im großen Stil zuzuschlagen.
Ein finanziell motivierter Angreifer mit russischsprachigem Hintergrund hat sich kommerzieller generativer KI-Dienste bedient, um mehr als 600 FortiGate-Appliances in 55 Ländern zu kompromittieren. Dies ist das Ergebnis einer neuen Analyse von Amazon Threat Intelligence, die die Aktivitäten zwischen dem 11. Januar und 18. Februar 2026 beobachtete.
Wie Amazon-CISO CJ Moses berichtet, gelang der Kampagne nicht durch die Ausnutzung von FortiGate-Schwachstellen, sondern durch die Exploitation von freiliegenden Management-Ports und schwachen Zugangsdaten mit einfaktorieller Authentifizierung. “Die fundamentalen Sicherheitslücken wurden durch KI-Tools optimal für einen weniger versierten Angreifer skaliert”, erklärt Moses.
Der Bedrohungsakteur verfügte über begrenzte technische Fähigkeiten, welche er durch den massiven Einsatz mehrerer kommerzieller KI-Systeme kompensierte. Diese unterstützten ihn in verschiedenen Phasen des Angriffsablaufs – von der Werkzeugentwicklung über Angriffsplanung bis zur Befehlsgenerierung. Während ein KI-Tool als Rückgrat der Operation fungierte, nutzte der Angreifer ein zweites Modell als Fallback für laterale Bewegungen innerhalb kompromittierter Netzwerke.
Amazon stuft den Akteur als finanziell motiviert ein und vermutet keine Verbindung zu staatlich gesponserten APT-Gruppen. Wie Google kürzlich hervorhob, werden generative KI-Tools zunehmend von Bedrohungsakteuren genutzt, um ihre Operationen zu skalieren – selbst wenn dies keine völlig neuen Angriffsweisen hervorbringt.
Die Verfügbarkeit dieser Werkzeuge senkt die Einstiegshürde für Cyberkriminalität erheblich. Fähigkeiten, die früher nur versierten Angreifern zur Verfügung standen, werden nun auch für technisch schwächere Akteure erreichbar. “Dieser Angreifer ist vermutlich ein einzelner, finanziell motivierter Akteur oder eine kleine Gruppe, die durch KI-Augmentierung ein operatives Ausmaß erreichte, das früher ein deutlich größeres und qualifizierteres Team benötigt hätte”, so Moses.
Die Ermittlungen offenbarten, dass der Angreifer erfolgreich mehrere Active-Directory-Umgebungen kompromittierte, komplette Credential-Datenbanken extrahierte und sogar Backup-Infrastrukturen anvisierte – typischerweise ein Vorbote für Ransomware-Einsätze.
Bemerkenswert ist das Vorgehen des Angreifers: Statt sich in gehärteten Umgebungen mit ausgefeilten Sicherheitskontrollen festzusetzen, wechselte er einfach zum nächsten, leichteren Ziel. Dies zeigt, wie KI als Brückentechnologie für das einfache Ausnutzen von Schwachstellen dient.
Amazon identifizierte öffentlich zugängliche Infrastruktur des Angreifers, die verschiedenste Artefakte der Kampagne enthielt: KI-generierte Angriffspläne, Victim-Konfigurationen und Quellcode für Custom Tools. Das Gesamtkonzept gleicht einem “KI-gestützten Fließband der Cyberkriminalität”.
Die Angriffe zielten zunächst auf Internet-exponierte FortiGate-Management-Interfaces auf den Ports 443, 8443, 10443 und 4443. Der Angreifer scannte systematisch und versuchte sich mit häufig wiederverwendeten Zugangsdaten zu authentifizieren. Das automatisierte Scanning war sektor-unabhängig und stammte von der IP 212.11.64[.]250.
Die erbeuteten Daten ermöglichten tiefere Netzwerk-Infiltration und Post-Exploitation-Aktivitäten: Vulnerabilitäts-Scanning mit Nuclei, Active-Directory-Compromise, Credential Harvesting und Zugriffsbemühungen auf Backup-Infrastrukturen – das klassische Muster vor Ransomware-Deployments.
Die Scans resultierten in organisationsweiter Kompromittierung, wobei mehrere FortiGate-Devices derselben Entity infiltriert wurden. Die betroffenen Cluster erstrecken sich über Südasien, Lateinamerika, die Karibik, Westafrika, Nordeuropa und Südostasien.
Nach VPN-Zugang deployten die Angreifer ein Custom Reconnaissance-Tool in verschiedenen Versionen – geschrieben in Go und Python. Die Quellcode-Analyse offenbarte klare Indikatoren für KI-unterstützte Entwicklung: redundante Kommentare, die nur Funktionsnamen wiederholen, primitive Architektur mit überproportionalem Fokus auf Formatierung statt Funktionalität, naives JSON-Parsing via String-Matching statt ordentlicher Deserialisierung und dokumentationslose Compatibility Shims.
Ein weiteres interessantes Muster: Der Angreifer scheiterte wiederholt beim Versuch, Exploits jenseits der “einfachsten, automatisierten Angriffspfade” einzusetzen. Seine eigene Dokumentation verzeichnet Fehlschläge dort, wo Services gepatcht, Ports geschlossen oder keine verwundbaren Vektoren vorhanden waren.
Gegeben dass FortiGate-Appliances zunehmend Angriffsziele darstellen, sollten Organisationen dringend folgende Maßnahmen ergreifen: Management-Interfaces nicht Internet-exponieren, Standard- und häufige Credentials ändern, SSL-VPN-Benutzerzugänge rotieren, Multi-Faktor-Authentifizierung für Admin- und VPN-Zugriff implementieren und auf unautorisierten administrativen Zugang prüfen. Zudem sollten Backup-Server vom allgemeinen Netzwerk isoliert, sämtliche Software aktuell gehalten und unbeabsichtigte Netzwerk-Exponierungen monitort werden.
“Während wir diese Tendenz 2026 fortgesetzt erwarten, sollten Organisationen mit zunehmendem Volumen KI-gestützter Bedrohungsaktivität rechnen”, warnt Moses. “Starke defensive Grundlagen bleiben die wirksamste Gegenmaßnahme: Patch-Management für Perimeter-Devices, Credential-Hygiene, Netzwerk-Segmentierung und robuste Detektion von Post-Exploitation-Indikatoren.”
In einer separaten Analyse offenbarte das Team von Cyber and Ramen zusätzliche Details: Der Angreifer nutzte DeepSeek und Anthropic Claude zur Generierung der Angriffspläne. Eine frühere Exposition desselben Servers im Dezember 2025 zeigte ein Hosting des Offensive-AI-Frameworks HexStrike AI.
“DeepSeek generiert Angriffspläne aus Reconnaissance-Daten”, erklärt ein anonymer Sicherheitsforscher. “Claudes Coding-Agent produzierte Vulnerabilities-Assessments während der Intrusions und war zur Ausführung offensiver Tools auf Victim-Systemen konfiguriert. Ein zuvor nicht gemeldeter Model Context Protocol (MCP)-Server fungiert als Brücke zu den Sprachmodellen und unterhält eine Wissensdatenbank, die mit jedem neuen Ziel wächst.”
Der Server 212.11.64[.]250 hostete über 1.400 Dateien in 139 Verzeichnissen: CVE-Exploit-Code, FortiGate-Konfigurationen, Nuclei-Scanning-Templates, Veeam-Credential-Extracting-Tools und BloodHound-Sammlungsdaten.
Unter den exponierten Dateien war ein Custom MCP-Server namens ARXON zur Verarbeitung von Scan-Resultaten und Reconnaissance-Daten, zum Aufrufen von DeepSeek für Angriffsplanenerstellung sowie zum Einsatz von Skripten zur Modifikation der Victim-Infrastruktur. Ein weiteres Custom-Tool war der Go-basierte Orchestrator CHECKER2 für paralleles VPN-Scanning und Target-Processing.
“Was diese Aktivität auszeichnet, ist die LLM-Integration: Ein (vermutlich einzelner) Operator, der simultane Intrusions über mehrere Länder hinweg orchestriert, mit analytischer Unterstützung in jeder Phase”, resümiert der Forscher. “Sprachmodelle halfen dem schwach bis durchschnittlich versierten Akteur lediglich, die Anzahl der Ziele zu überwinden, die eine einzelne Person zeitgleich bearbeiten kann.”
Quelle: The Hacker News