FortiBleed: Campanha explora vulnerabilidades em FortiGate com sniffer customizado para roubo de credenciais
Uma campanha de ciberataque em larga escala, nomeada FortiBleed, está explorando dispositivos FortiGate com um sniffer customizado para interceptar credenciais. A operação, que afeta milhares de dispositivos globalmente, visa roubar informações sensíveis para revenda ou uso em ataques posteriores.
MundiX News·27 de junho de 2026·7 min de leitura·👁 1 views
Especialistas da SOCRadar revelaram novos detalhes sobre a campanha FortiBleed, que atingiu dezenas de milhares de dispositivos Fortinet. Os pesquisadores descobriram que os atacantes estão comprometendo centenas de firewalls FortiGate, instalando sniffers customizados para interceptar credenciais. Posteriormente, esses acessos obtidos podem ser revendidos a outros criminosos.
Os especialistas indicam que a campanha está ativa pelo menos desde fevereiro de 2026, e nesse período, mais de 430.000 dispositivos FortiGate em todo o mundo foram visados. Conforme relatado anteriormente, FortiBleed afetou mais de 80.000 firewalls e VPN gateways em 194 países, com 19.000 deles ainda sob "escuta" dos atacantes. Inicialmente, acreditava-se que esta operação visava exclusivamente produtos Fortinet. No entanto, a investigação revelou que os atacantes também estão escaneando e comprometendo NAS Synology, firewalls Sophos, portais RDWeb, Citrix SSL-VPN, instâncias RDP abertas e servidores MS-SQL.
Para encontrar sistemas acessíveis pela internet, os hackers utilizam Masscan, Shodan e utilitários próprios. Inicialmente, os criminosos focavam em brute-force de painéis administrativos, SSL-VPN e SSH, empregando ataques de dicionário e credenciais de vazamentos anteriores. Posteriormente, os atacantes começaram a explorar vulnerabilidades antigas e não corrigidas em FortiGate, permitindo contornar a autenticação e assumir o controle dos dispositivos. Representantes da Fortinet admitiram que vulnerabilidades como CVE-2026-24858, CVE-2025-59718 e CVE-2025-59719 poderiam estar sendo utilizadas na campanha.
De acordo com os pesquisadores, os atacantes inicialmente extraíam senhas e hashes diretamente das configurações dos dispositivos FortiGate comprometidos. No entanto, em maio, o esquema se tornou mais complexo, com a instalação do FortigateSniffer, uma ferramenta desenvolvida em Go. Este sniffer abusa do comando nativo do FortiOS, diagnose sniffer packet, projetado para diagnóstico de rede, e escuta passivamente o tráfego que passa pelo firewall em 24 protocolos (incluindo Kerberos, LDAP, SMB, RADIUS, RDP, WinRM, SMTP, FTP, MySQL e Microsoft SQL Server).
O sniffer rouba senhas em texto claro, hashes NTLM e Kerberos, tickets, tokens e outros dados de autenticação. Os hashes são transmitidos para a infraestrutura distribuída dos atacantes, onde um cluster de GPUs é usado para quebrar os hashes com Hashcat e Hashtopolis. As credenciais obtidas são automaticamente verificadas e usadas para movimentação lateral na rede, reconhecimento no Active Directory e acesso a compartilhamentos de rede. Além disso, os atacantes roubam cookies de sessão para manter o acesso a serviços já comprometidos.
Analistas da SOCRadar descobriram centenas de servidores, e a infraestrutura dos atacantes realizou pelo menos 659 ciclos de coleta de dados. No total, eles processaram mais de 110 milhões de credenciais, incluindo 14,8 milhões de registros RADIUS, 924.000 hashes NTLM, 130.000 hashes Kerberos e 89 milhões de tokens de autenticação MySQL. O banco de dados inicialmente descoberto com dezenas de milhares de senhas para dispositivos Fortinet parece ter sido apenas um pequeno fragmento das informações coletadas pelos criminosos. Ainda não se sabe quantas credenciais estão realmente em posse dos operadores da campanha FortiBleed.
Os pesquisadores sugerem que plataformas de IA para pentest, como a CyberStrike, podem ter sido utilizadas no desenvolvimento de alguns componentes pelos atacantes. A infraestrutura dos criminosos operava em ciclos de cinco horas, baixando uma lista regional de alvos e verificando credenciais em mil fluxos paralelos. O sniffer era ativado apenas para faixas de IP específicas e operava das 07:00 às 18:00, horário de Moscou. As principais vítimas da FortiBleed foram empresas com menos de 200 funcionários, principalmente nos EUA e na Índia. Provedores de TI e MSPs também foram alvos prioritários, pois o comprometimento dessas empresas abre caminho para as redes de seus clientes. Por exemplo, em 15 de junho, os atacantes roubaram hashes Kerberos e dados de backup DFS de um empreiteiro de defesa não identificado ligado à OTAN.
Especialistas da SOCRadar acreditam que um broker de acesso, que colabora com grupos de hackers "governamentais", pode estar por trás da operação FortiBleed. No entanto, não se descarta a possibilidade de os acessos serem vendidos para grupos de ransomware e outros criminosos. Especialistas da Palo Alto Networks Unit 42 associam esta campanha a um broker de língua russa conhecido como SantaAd, embora outros pesquisadores ainda não tenham confirmado essa atribuição.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Especialistas da SOCRadar revelaram novos detalhes sobre a campanha FortiBleed, que atingiu dezenas de milhares de dispositivos Fortinet. Os pesquisadores descobriram que os atacantes estão comprometendo centenas de firewalls FortiGate, instalando sniffers customizados para interceptar credenciais. Posteriormente, esses acessos obtidos podem ser revendidos a outros criminosos.
Os especialistas indicam que a campanha está ativa pelo menos desde fevereiro de 2026, e nesse período, mais de 430.000 dispositivos FortiGate em todo o mundo foram visados. Conforme relatado anteriormente, FortiBleed afetou mais de 80.000 firewalls e VPN gateways em 194 países, com 19.000 deles ainda sob "escuta" dos atacantes. Inicialmente, acreditava-se que esta operação visava exclusivamente produtos Fortinet. No entanto, a investigação revelou que os atacantes também estão escaneando e comprometendo NAS Synology, firewalls Sophos, portais RDWeb, Citrix SSL-VPN, instâncias RDP abertas e servidores MS-SQL.
Para encontrar sistemas acessíveis pela internet, os hackers utilizam Masscan, Shodan e utilitários próprios. Inicialmente, os criminosos focavam em brute-force de painéis administrativos, SSL-VPN e SSH, empregando ataques de dicionário e credenciais de vazamentos anteriores. Posteriormente, os atacantes começaram a explorar vulnerabilidades antigas e não corrigidas em FortiGate, permitindo contornar a autenticação e assumir o controle dos dispositivos. Representantes da Fortinet admitiram que vulnerabilidades como CVE-2026-24858, CVE-2025-59718 e CVE-2025-59719 poderiam estar sendo utilizadas na campanha.
De acordo com os pesquisadores, os atacantes inicialmente extraíam senhas e hashes diretamente das configurações dos dispositivos FortiGate comprometidos. No entanto, em maio, o esquema se tornou mais complexo, com a instalação do FortigateSniffer, uma ferramenta desenvolvida em Go. Este sniffer abusa do comando nativo do FortiOS, diagnose sniffer packet, projetado para diagnóstico de rede, e escuta passivamente o tráfego que passa pelo firewall em 24 protocolos (incluindo Kerberos, LDAP, SMB, RADIUS, RDP, WinRM, SMTP, FTP, MySQL e Microsoft SQL Server).
O sniffer rouba senhas em texto claro, hashes NTLM e Kerberos, tickets, tokens e outros dados de autenticação. Os hashes são transmitidos para a infraestrutura distribuída dos atacantes, onde um cluster de GPUs é usado para quebrar os hashes com Hashcat e Hashtopolis. As credenciais obtidas são automaticamente verificadas e usadas para movimentação lateral na rede, reconhecimento no Active Directory e acesso a compartilhamentos de rede. Além disso, os atacantes roubam cookies de sessão para manter o acesso a serviços já comprometidos.
Analistas da SOCRadar descobriram centenas de servidores, e a infraestrutura dos atacantes realizou pelo menos 659 ciclos de coleta de dados. No total, eles processaram mais de 110 milhões de credenciais, incluindo 14,8 milhões de registros RADIUS, 924.000 hashes NTLM, 130.000 hashes Kerberos e 89 milhões de tokens de autenticação MySQL. O banco de dados inicialmente descoberto com dezenas de milhares de senhas para dispositivos Fortinet parece ter sido apenas um pequeno fragmento das informações coletadas pelos criminosos. Ainda não se sabe quantas credenciais estão realmente em posse dos operadores da campanha FortiBleed.
Os pesquisadores sugerem que plataformas de IA para pentest, como a CyberStrike, podem ter sido utilizadas no desenvolvimento de alguns componentes pelos atacantes. A infraestrutura dos criminosos operava em ciclos de cinco horas, baixando uma lista regional de alvos e verificando credenciais em mil fluxos paralelos. O sniffer era ativado apenas para faixas de IP específicas e operava das 07:00 às 18:00, horário de Moscou. As principais vítimas da FortiBleed foram empresas com menos de 200 funcionários, principalmente nos EUA e na Índia. Provedores de TI e MSPs também foram alvos prioritários, pois o comprometimento dessas empresas abre caminho para as redes de seus clientes. Por exemplo, em 15 de junho, os atacantes roubaram hashes Kerberos e dados de backup DFS de um empreiteiro de defesa não identificado ligado à OTAN.
Especialistas da SOCRadar acreditam que um broker de acesso, que colabora com grupos de hackers "governamentais", pode estar por trás da operação FortiBleed. No entanto, não se descarta a possibilidade de os acessos serem vendidos para grupos de ransomware e outros criminosos. Especialistas da Palo Alto Networks Unit 42 associam esta campanha a um broker de língua russa conhecido como SantaAd, embora outros pesquisadores ainda não tenham confirmado essa atribuição.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
