A campanha FortiBleed, inicialmente associada ao roubo de credenciais de dezenas de milhares de firewalls Fortinet em diferentes países, ganhou novos contornos após a divulgação de uma análise técnica que descreve uma operação muito mais ampla, automatizada e voltada à coleta massiva de acessos corporativos.

A nova apuração indica que o caso não se limita ao vazamento de senhas de aproximadamente 75 mil dispositivos Fortinet, tema já tratado anteriormente pelo Cyber Security Brazil. Segundo os dados mais recentes, o FortiBleed faz parte de uma operação de corretagem de acesso inicial conduzida por um grupo de língua russa e motivado financeiramente, com mais de 430 mil firewalls FortiGate visados em escala global.

A campanha estaria ativa desde fevereiro de 2026 e combina reconhecimento em massa, busca por serviços expostos, ataques de força bruta, validação automatizada de credenciais e implantação de sniffers personalizados em firewalls comprometidos. Na prática, os invasores transformam dispositivos de borda em pontos de coleta de autenticações, explorando o tráfego que passa pelos equipamentos para capturar senhas em texto claro, hashes e outros dados sensíveis.

De acordo com a SOCRadar, uma das ferramentas centrais da operação é o FortigateSniffer, um utilitário desenvolvido em Golang para capturar passivamente tráfego de autenticação em dispositivos FortiGate comprometidos. A ferramenta usa o comando nativo de diagnóstico do FortiOS, “diagnose sniffer packet”, para monitorar comunicações e extrair credenciais de diferentes protocolos.

O FortigateSniffer foi projetado para observar tráfego associado a 24 protocolos, incluindo TACACS+, Kerberos, RPC, SMB, LDAP, SMTP, FTP, Telnet, RDP, WinRM, MS-SQL, MySQL, PostgreSQL e RADIUS. Esse alcance técnico amplia o impacto da campanha, já que um firewall comprometido pode permitir a coleta de credenciais usadas em múltiplas camadas do ambiente corporativo, não apenas no próprio appliance de borda.

A cadeia de ataque começa com reconhecimento em larga escala. Os invasores usam ferramentas como Masscan e Shodan para identificar firewalls FortiGate expostos à internet. Em seguida, empregam utilitários personalizados, como FortiProbe-fast e GeoSplit, para filtrar os sistemas encontrados e organizar os alvos por país ou região.

Depois dessa triagem, a campanha avança para a etapa de comprometimento. Um verificador de credenciais chamado “forticheck” é usado contra o painel administrativo e o portal SSL-VPN do FortiGate. Os operadores também tentam obter acesso administrativo via SSH por meio de credential stuffing e ataques de dicionário, aproveitando combinações de usuário e senha já vazadas ou previsíveis.

Após obter acesso ao dispositivo, os invasores implantam o FortigateSniffer para interceptar tráfego de autenticação de forma passiva. Essa abordagem torna o firewall comprometido uma fonte contínua de credenciais, permitindo capturar tanto senhas em texto claro quanto hashes que depois podem ser quebrados em infraestrutura própria.

Os hashes coletados são processados com ferramentas como Hashmat e Hashtopolis, com apoio de um bot no Telegram chamado HASHBOT para orquestrar parte do fluxo. Depois de validadas, as credenciais são reutilizadas contra domínios Active Directory, serviços expostos e outros sistemas corporativos, abrindo caminho para enumeração interna, movimentação lateral e possível expansão do acesso dentro das redes comprometidas.

A nova análise ajuda a explicar pontos já observados na primeira exposição pública do caso, que mencionava quebra de hashes, uso de Hashtopolis e avanço contra ambientes Active Directory. O que agora aparece com mais clareza é a dimensão operacional do FortiBleed: uma estrutura organizada em pipelines, com automação, classificação de alvos e coleta contínua de credenciais.

Segundo os dados divulgados, os invasores teriam executado pelo menos 659 pipelines de coleta de credenciais nos dias 31 de maio e 15 de junho de 2026. A operação teria resultado na identificação de mais de 110 milhões de credenciais, incluindo 14,8 milhões de credenciais RADIUS, 924 mil hashes NTLM, 130 mil hashes Kerberos e 89 milhões de tokens de autenticação MySQL.

A campanha também não parece se restringir aos dispositivos Fortinet. A atividade observada sugere uma operação multi-vendor de acesso inicial, com ataques automatizados contra NAS Synology, firewalls Sophos, portais RDWeb, Citrix SSL-VPNs e servidores MS-SQL desde 28 de fevereiro de 2026. Esse ponto reforça a interpretação de que o FortiBleed é parte de uma cadeia mais ampla de monetização de acessos, e não apenas um vazamento isolado de credenciais de VPN.

O foco dos operadores recai principalmente sobre pequenas e médias empresas com menos de 200 funcionários. Estados Unidos e Índia aparecem entre os países com maior destaque na atividade observada, enquanto o setor de serviços de TI surge como alvo estratégico. O interesse nesse segmento pode estar ligado ao potencial de acesso indireto a ambientes de clientes, já que provedores de tecnologia frequentemente mantêm conexões, credenciais ou privilégios em infraestruturas de terceiros.

A SOCRadar afirma que os alvos não são tratados de forma uniforme. Os invasores classificam as vítimas conforme o valor econômico antes de direcionar recursos adicionais de exploração. Esse comportamento é compatível com operações de corretores de acesso inicial, que buscam obter, validar e vender acessos para outros grupos criminosos, incluindo operadores de ransomware, fraudadores ou agentes interessados em espionagem corporativa.

A infraestrutura da campanha também apresenta sinais de controle operacional. O mecanismo de sniffing inclui filtros de geofencing para limitar a atividade a faixas específicas de IP e horários restritos entre 7h e 18h no horário de Moscou. Dados analisados indicam que o ciclo de captura relacionado ao FortiGate começou em 19 de maio de 2026, com a infraestrutura de quebra de hashes configurada no fim daquele mês.

Segundo a Zenox, empresa brasileira de cibersegurança, a operação funciona em ciclos de 300 minutos, equivalentes a cinco horas, com atualização de status a cada minuto. Em cada ciclo, os operadores carregam listas regionais de alvos e realizam validações com 1.000 threads simultâneas, acompanhando contadores de sucesso, falha, timeout e alertas. Nos primeiros ciclos observados, a taxa de validação bem-sucedida ficou próxima de 90%.

A Zenox também encontrou pares de usuário e senha repetidos em milhares de endereços IP distintos. Esse padrão levantou a possibilidade de que algumas contas tenham sido plantadas pelos próprios invasores como uma forma clandestina de manter acesso posterior aos ambientes comprometidos.

Outro elemento citado na análise é o possível uso de ferramentas ofensivas open source com recursos baseados em inteligência artificial. Os pesquisadores suspeitam que os operadores tenham usado uma plataforma chamada CyberStrike para apoiar partes do fluxo de trabalho. Um framework semelhante, chamado CyberStrikeAI, também já havia sido associado a uma campanha automatizada de varredura em massa contra dispositivos FortiGate, exposta anteriormente pela Amazon Threat Intelligence.

A divulgação ocorre em paralelo à atividade de uma conta de língua russa chamada “SantaAd”, que anunciou a venda de acesso a milhares de dispositivos Fortinet por valores a partir de US$ 30 mil, posteriormente elevados para US$ 60 mil poucas horas depois. Ainda não está claro, porém, se essa oferta tem relação direta com o FortiBleed.

A Fortinet, por sua vez, já havia contestado interpretações anteriores sobre a campanha, afirmando que os dados poderiam envolver republicação de informações provenientes de incidentes antigos e tentativas de força bruta, sem relação com um novo incidente ou alerta específico da empresa. A companhia também reforçou que organizações que seguem boas práticas, como rotação periódica de credenciais e autenticação multifator, teriam risco reduzido diante dos dados divulgados.

Mesmo com a disputa sobre a origem exata das credenciais, o caso exige atenção de equipes de segurança que operam firewalls, VPNs e portais administrativos expostos à internet. A exposição de credenciais válidas em dispositivos de borda pode permitir acesso remoto direto a redes corporativas, facilitar movimentação lateral, comprometer domínios Active Directory e criar oportunidades para exfiltração de dados ou persistência silenciosa.

Entre as medidas mais urgentes estão a rotação de senhas de contas administrativas e VPN, habilitação de autenticação multifator, revisão de acessos SSH, análise de logs de autenticação, verificação de contas suspeitas, investigação de possíveis conexões não autorizadas e validação de sinais de movimentação lateral. Empresas também devem revisar se interfaces administrativas permanecem expostas à internet e aplicar segmentação adequada para reduzir o impacto de um eventual comprometimento.

O avanço da análise sobre o FortiBleed mostra que o caso deve ser observado como uma operação em evolução. A primeira exposição revelou o alcance do vazamento de credenciais em firewalls Fortinet. Os novos dados indicam uma estrutura mais complexa, capaz de automatizar ataques, capturar autenticações em múltiplos protocolos e transformar appliances de segurança em instrumentos de coleta de acesso para campanhas criminosas posteriores.