Massiccio Attacco AI a FortiGate: oltre 600 firewall compromessi

Tra gennaio e febbraio 2026 una campagna offensiva coordinata ha preso di mira infrastrutture critiche dell’azienda software FortiGate in tutto il mondo.

L’elemento più inquietante: gli strumenti utilizzati per pianificare e eseguire l’operazione sono stati sviluppati ricorrendo a servizi commerciali di Intelligenza Artificiale generativa, abbattendo drasticamente le competenze tecniche richieste per condurre attacchi su scala globale.

L’analisi forense rivela come l’attaccante, un soggetto russofono mosso da motivazioni economiche, non abbia sfruttato falle nel software bensì una combinazione letale di errori umani: interfacce di amministrazione esposte pubblicamente sulle porte 443, 8443, 10443 e 4443, associate a password fragili e autenticazione monofattore.

Una volta dentro il perimetro, l’operazione è proseguita con l’estrazione sistematica di file di configurazione contenenti segreti critici: credenziali SSL-VPN deciferabili, accessi amministrativi, regole firewall, parametri IPsec e mappature della topologia infrastrutturale.

Come l’AI ha accelerato sviluppo e riconoscimento della rete bersaglio

I file rubati sono stati processati mediante tool scritti in Python e Go, realizzati con assistenza di chatbot generativi.

L’automazione è proseguita con scanner su misura per cartografare le reti interne: parsing delle tabelle di routing, categorizzazione per ampiezza della rete, scouting dei servizi, tracciamento di host SMB e localizzazione di domain controller.

Il codice riportava inequivocabili impronte di generazione automatica (commenti prolissi, strutture semplificate) e testimoniava come l’abbinamento di processi procedurali e completamenti generati dall’AI abbia compresso sensibilmente i tempi di realizzazione e ridotto il fabbisogno di expertise, un vantaggio che prima era appannaggio di team ampi e specializzati.

Conseguenze concrete per le realtà aziendali

Le configurazioni trafugate aprono la strada a scenari offensivi di alta gravità: apertura di tunnel VPN fantasma, persistenza amministrativa, drenaggio di dati riservati, ricatto ed eventuale commercio dei segreti in forum criminali. Gli esperti evidenziano due macro-trend preoccupanti: la permanenza di cattive prassi nella gestione delle credenziali e l’accessibilità crescente di arsenali offensivi costruiti con supporto dell’AI.

La difesa richiede un approccio multistrato: isolamento delle console di management da Internet, MFA obbligatoria per ogni accesso privilegiato, password VPN diverse dalle credenziali Active Directory, cicli di rotazione rigorosi, hardening dei backup, segmentazione di rete e audit costante dei log.

I team della sicurezza devono inoltre implementare sensori per attività di configurazione irregolare, alerting su accessi anomali alle interfacce amministrative, VPN aziendali centralizzate con identity verification sofisticata. La formazione continua su igiene delle credenziali e consapevolezza del rischio rimane fondamentale.