Nach Angaben von Amazon kompromittierte der Akteur die Active-Directory-Umgebungen mehrerer Organisationen, extrahierte vollständige Zugangsdatenbanken und nahm auch Backup-Infrastruktur ins Visier – mutmaßlich als Vorbereitung auf den Einsatz von Ransomware. Auffällig sei dabei, dass der Angreifer gut abgesicherte Ziele nicht hartnäckig verfolgte, sondern sie aufgab und sich leichteren Opfern zuwandte. Das deute darauf hin, dass KI vor allem dazu diente, die eigene Kompetenzlücke zu überbrücken.
Amazon identifizierte öffentlich zugängliche Infrastruktur des Angreifers, auf der KI-generierte Angriffspläne, Opferkonfigurationen und Quellcode für eigene Werkzeuge lagen. Das Vorgehen gleiche einer “KI-gestützten Fließbandfertigung für Cyberkriminalität”.
Im Kern erlaubten die Angriffe, FortiGate-Appliances zu durchbrechen und vollständige Gerätekonfigurationen auszulesen, woraus sich Zugangsdaten, Informationen zur Netzwerktopologie und Konfigurationsdetails gewinnen ließen. Dem ging ein systematisches Scannen von FortiGate-Management-Schnittstellen voraus, die über die Ports 443, 8443, 10443 und 4443 im Internet erreichbar waren, gefolgt von Anmeldeversuchen mit häufig wiederverwendeten Zugangsdaten. Die branchenunabhängige Aktivität ging von der IP-Adresse 212.11.64.250 aus und deutet auf automatisiertes Massen-Scanning hin. Betroffene Gerätecluster wurden in Südasien, Lateinamerika, der Karibik, Westafrika, Nordeuropa und Südostasien festgestellt.
Nach dem VPN-Zugang setzte der Akteur ein eigenes Aufklärungswerkzeug ein, das in Versionen sowohl in Go als auch in Python vorlag. Im Quellcode fand Amazon klare Hinweise auf KI-gestützte Entwicklung: überflüssige Kommentare, die nur den Funktionsnamen wiederholen, eine simple Architektur mit unverhältnismäßig viel Aufwand für Formatierung statt Funktion, naives Parsen von JSON über Zeichenkettenabgleich sowie Kompatibilitätsbehelfe mit leeren Dokumentationsstümpfen. Zu den weiteren Schritten zählten Schwachstellenscans mit Nuclei, die Kompromittierung von Active Directory, das Abgreifen von Zugangsdaten und Zugriffsversuche auf Backup-Infrastruktur.
Laut Amazon scheiterte der Akteur wiederholt, sobald er über die einfachsten, automatisierten Angriffspfade hinausging. Seine eigene Dokumentation hielt fest, dass Ziele die Dienste gepatcht, die nötigen Ports geschlossen oder keine angreifbaren Vektoren geboten hätten. Moses erwartet, dass KI-gestützte Bedrohungsaktivität 2026 weiter zunimmt, und nennt Patch-Management für Perimeter-Geräte, sorgfältige Handhabung von Zugangsdaten, Netzwerksegmentierung sowie robuste Erkennung als wirksamste Gegenmaßnahmen.
In einer gesonderten Untersuchung beschrieb auch Cyber and Ramen dieselbe Kampagne und benannte den Einsatz von DeepSeek und Anthropic Claude zur Erzeugung der Angriffspläne. Eine frühere Offenlegung desselben Servers im Dezember 2025 zeigte, dass die ältere Instanz eine Kopie des offensiven KI-Frameworks HexStrike AI beherbergte. Laut einem anonymen Sicherheitsforscher erzeugt DeepSeek aus Aufklärungsdaten die Angriffspläne, während Claudes Coding-Agent Schwachstellenbewertungen lieferte und so konfiguriert war, offensive Werkzeuge auf den Opfersystemen auszuführen. Ein bislang unbekannter Model-Context-Protocol-Server (MCP) fungierte als Brücke zu den Sprachmodellen und pflegte eine mit jedem Ziel wachsende Wissensbasis.
Auf dem Server 212.11.64.250 fanden sich über 1.400 Dateien in 139 Unterverzeichnissen, darunter CVE-Exploit-Code, FortiGate-Konfigurationsdateien, Nuclei-Scan-Vorlagen, Werkzeuge zum Auslesen von Veeam-Zugangsdaten und BloodHound-Sammeldaten. Ebenfalls vorhanden war ein eigener MCP-Server namens ARXON zur Verarbeitung von Scan- und Aufklärungsdaten sowie ein Go-basierter Orchestrator namens CHECKER2 für paralleles VPN-Scanning. Das Besondere sei die Einbindung der Sprachmodelle, so der Forscher: ein vermutlich einzelner Operator, der mit analytischer Unterstützung in jeder Phase gleichzeitig Einbrüche in mehreren Ländern steuert.
