Investigadores de SOCRadar han revelado una campaña masiva, denominada FortiBleed, que habría comprometido 86.644 firewalls FortiGate en 194 países y exfiltrado más de 110 millones de credenciales —incluyendo material RADIUS, NTLM y Kerberos— desde, al menos, febrero de 2026.

Resumen ejecutivo

Campo Valor
Nombre de la campaña FortiBleed
Dispositivos afectados 86.644 FortiGate
Alcance geográfico 194 países
Credenciales expuestas > 110 millones (RADIUS / NTLM / Kerberos)
Inicio estimado Febrero de 2026
Atribución Bróker de acceso inicial (IAB) de habla rusa
Componente malicioso "FortigateSniffer"

Cómo opera la campaña

Según el análisis, los atacantes obtenían acceso administrativo a los dispositivos mediante credential stuffing y fuerza bruta contra los portales de gestión expuestos. Una vez dentro, desplegaban un componente bautizado por los propios actores como "FortigateSniffer", capaz de capturar las credenciales que atravesaban el dispositivo (autenticaciones VPN, RADIUS, peticiones de dominio) y enviarlas a infraestructura controlada por el atacante.

Los comentarios en cirílico hallados en el malware y la operativa apuntan a un bróker de acceso inicial (IAB) de origen ruso, que estaría monetizando el acceso revendiéndolo a otros grupos —incluidos operadores de ransomware—.

El riesgo real: el firewall como pivote

Un FortiGate comprometido no es solo un dispositivo perdido: es la puerta de entrada a la red corporativa. Las credenciales capturadas permiten:

  • Acceso VPN legítimo sin disparar alarmas (cuentas válidas).
  • Movimiento lateral con credenciales de dominio robadas.
  • Persistencia incluso después de parchear, porque las credenciales robadas siguen siendo válidas hasta que se rotan.
  • Reventa del acceso a terceros.

Cadena de ataque (ATT&CK)

  1. T1133 / T1190 — Acceso al servicio remoto externo (portal de administración / VPN expuesta).
  2. T1110 — Fuerza bruta / credential stuffing para el acceso administrativo.
  3. T1078 — Uso de cuentas administrativas válidas.
  4. T1040 — Captura de credenciales en tránsito mediante el sniffer desplegado.
  5. T1556 — Manipulación del flujo de autenticación.

Indicadores y caza

  • Ráfagas de fallos de autenticación seguidas de un acceso administrativo exitoso en el firewall.
  • Inicios de sesión administrativos desde IPs o geografías inusuales desde febrero de 2026.
  • Procesos, binarios o tareas anómalas en el dispositivo (el sniffer).
  • Conexiones salientes inesperadas desde el firewall hacia infraestructura desconocida (exfiltración).
  • Uso de cuentas VPN desde localizaciones imposibles o a horas atípicas.

Mitigación y respuesta

  1. Forzar el restablecimiento de TODAS las contraseñas de VPN y administración asociadas a los FortiGate. Asumir que ya fueron robadas.
  2. Habilitar MFA en todos los accesos administrativos y de VPN.
  3. Revisar logs de autenticación retroactivamente (desde febrero) en busca de accesos administrativos sospechosos.
  4. No exponer el portal de administración a Internet; restringir por IP de origen y segmentar la gestión.
  5. Buscar el componente sniffer y artefactos de persistencia en los dispositivos; considerar reflasheo en caso de duda.
  6. Rotar secretos RADIUS y revisar cuentas de servicio que pasaran por el firewall.

Cobertura en DefensOps

FortiBleed recuerda que parchear no basta cuando ya han robado tus credenciales. DefensOps correla la actividad de los dispositivos de borde con el comportamiento de identidad: fuerza bruta seguida de acceso administrativo exitoso (T1110→T1078), uso de cuentas válidas desde geografías imposibles y patrones de captura de tráfico en el perímetro (T1040), desde el plan Essential.

Fuentes

Informe de SOCRadar; BleepingComputer; CSO Online; Security Affairs.

Análisis elaborado y sintetizado por el equipo de DefensOps Threat Intel a partir de las fuentes citadas.