Pesquisadores de cibersegurança estão alertando para um "aumento significativo" no tráfego de brute-force direcionado a dispositivos Fortinet SSL VPN.
A atividade coordenada, segundo a empresa de inteligência de ameaças GreyNoise, foi observada em 3 de agosto de 2025, com mais de 780 endereços IP únicos participando do esforço.
Foram detectados até 56 endereços IP únicos nas últimas 24 horas.
Todos os endereços IP foram classificados como maliciosos, com os IPs originários dos Estados Unidos, Canadá, Rússia e Holanda.
Os alvos da atividade de brute-force incluem os Estados Unidos, Hong Kong, Brasil, Espanha e Japão.
"Crucialmente, o tráfego observado também estava direcionando nosso perfil FortiOS, sugerindo um direcionamento deliberado e preciso dos SSL VPNs da Fortinet," disse GreyNoise.
"Isso não foi oportunista -- foi uma atividade focada."
A empresa também apontou que identificou duas ondas de assalto distintas observadas antes e depois de 5 de agosto: Uma, uma atividade de brute-force de longa duração ligada a uma única assinatura TCP que permaneceu relativamente estável ao longo do tempo, e Duas, que envolveu um aumento súbito e concentrado de tráfego com uma assinatura TCP diferente.
"Enquanto o tráfego de 3 de agosto visou o perfil FortiOS, o tráfego identificado com assinaturas TCP e de cliente – uma meta assinatura – a partir de 5 de agosto em diante não estava atingindo o FortiOS," a empresa observou.
"Em vez disso, estava consistentemente direcionando nosso FortiManager."
Isso indicou uma mudança no comportamento do atacante – potencialmente a mesma infraestrutura ou conjunto de ferramentas pivotando para um novo serviço voltado para a Fortinet.
Além disso, um exame mais profundo dos dados históricos associados à impressão digital TCP pós-5 de agosto revelou um pico anterior em junho apresentando uma assinatura de cliente única que resolveu para um dispositivo FortiGate em um bloco de ISP residencial gerido pela Pilot Fiber Inc.
Isso levantou a possibilidade de que as ferramentas de brute-force foram inicialmente testadas ou lançadas a partir de uma rede doméstica.
Uma hipótese alternativa é o uso de um proxy residencial.
O desenvolvimento ocorre no contexto de descobertas de que picos em atividades maliciosas são frequentemente seguidos pela divulgação de um novo CVE afetando a mesma tecnologia dentro de seis semanas.
"Esses padrões eram exclusivos para tecnologias de borda empresariais como VPNs, firewalls e ferramentas de acesso remoto – os mesmos tipos de sistemas cada vez mais visados por atores de ameaças avançadas," a empresa destacou em seu relatório de Sinais de Alerta Precoce publicado no fim do mês passado.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...