Gli esperti di Amazon hanno individuato una serie di attacchi informatici effettuati da cybercriminali russi contro oltre 600 firewall FortiGate di Fortinet. Per la pianificazione iniziale e durante le intrusioni sono stati utilizzati almeno due servizi di intelligenza artificiale generativa (Claude Code e DeepSeek, secondo i ricercatori di Cyber and Ramen).

Attacchi con l’aiuto dell’AI

Gli attacchi sono stati effettuati tra l’11 gennaio e il 18 febbraio 2026. Sono stati compromessi oltre 600 firewall FortiGate presenti in oltre 55 paesi in circa 5 settimane. I cybercriminali russi (ignoti) non hanno sfruttato vulnerabilità software, ma errate configurazioni che hanno esposto su Internet le interfacce di gestione e l’uso di password deboli senza autenticazione in due fattori.

Gli esperti di Amazon hanno trovato un server che ospitava i tool usati durante gli attacchi. I servizi di AI generativa sono stati sfruttati per le attività di pianificazione e per scrivere il codice. Dopo aver individuato le interfacce di gestione accessibili da Internet, i cybercriminali hanno trovato le password tramite forza bruta (tentativi ripetuti con credenziali comuni).

Ciò ha permesso di accedere ai firewall e estrarre i file di configurazione che contenevano credenziali SSL-VPN, architettura della rete, regole dei firewall e configurazioni IPsec VPN. Il contenuto dei file è stato decifrato con tool in Python e Go scritti dall’intelligenza artificiale.

Le credenziali VPN hanno permesso quindi di accedere alla rete interna delle vittime. Altri tool AI sono stati usati per raccogliere numerose informazioni, tra cui la dimensione della rete, host SMB e controller di dominio. I cybercriminali hanno successivamente usato noti tool open source per l’estrazione delle password NTLM dai database Active Directory.

Secondo Amazon, i cybercriminali non avevano competenza elevate, ma gli attacchi sono stati facilitati dai servizi AI. L’azienda di Seattle ha pubblicato anche una serie di consigli. Il primo è ovviamente quello di non consentire l’accesso remoto da Internet. Devono essere inoltre scelte password più robuste e attivata l’autenticazione multi-fattore.