Amazon Threat Intelligenz-Forscher haben eine Kampagne dokumentiert, die grausam zeigt, wie die Kombination von traditionellen Techniken und kommerziellen Dienstleistungen von künstlicher generativer Intelligenz die operative Kapazität von Akteuren mit begrenztem Wissen verstärken kann. Laut dem von AWS veröffentlichten Bericht wurde zwischen dem 11. Januar und dem 18. Februar 2026 der Eingriff von mehr als 600 FortiGate-Geräten in 55 Ländern nachgewiesen, eine Operation, die nicht auf Null-Tage-Schwachstellen basierte, sondern auf einem prosaeren Rezept: exponierte Management-Schnittstellen und schwache Anmeldedaten, die nur durch Authentifizierung eines einzigen Faktors geschützt wurden. Amazon erklärt wie die IA als Multiplikator für eine kleine Gruppe mit begrenzten technischen Fähigkeiten diente.
Der Schlag ist nicht so sehr die klassische technische Raffinesse des Gegners, sondern die Architektur des Angriffs: eine Reihe von kommerziellen IA-Tools, die für unterschiedliche Zeiten der Kampagne verwendet werden - von der Vorbereitung von Code- und Planungsbewegungen bis zur Generierung von Befehlen - erlaubt diesem Schauspieler "Skalieren" ohne ein großes Team oder Jahre Erfahrung zu benötigen. Amazons eigene Analyse entdeckte öffentliche Artefakte, die mit der Operation verbunden sind, einschließlich IA-generierte Angriffspläne, Opferkonfigurationen und benutzerdefinierte Werkzeug-Quellencode. Diese exponierte Infrastruktur bot eine Art automatisierte Montagelinie, wo die IA den intellektuellen Muskel und den Angreifer mit wirtschaftlicher Absicht zur Verfügung gestellt.
Der Modus operandi war systematisch: massives Scannen von FortiGate Management Ports aus dem Internet zugänglich - Ports wie 443, 8443, 10443 und 4443 - gefolgt von Zugriffsversuchen mit gemeinsamen oder wiederverwendeten Anmeldeinformationen. Der identifizierte Scan-Verkehr entstand nach den gesammelten Aufzeichnungen aus öffentlich identifizierten und potenziell schädlichen Richtungen, so dass die Kampagne abgebildet werden und ihr Umfang. Einmal in einem FortiGate-Gerät, könnte der Angreifer die vollständige Konfiguration der Ausrüstung mit sensiblen Informationen wie Anmeldeinformationen, Netzwerktopologie und administrative Parameter, Daten, die dann interne Bewegungen und tiefere Verpflichtungen erleichtern.
Amazon dokumentiert auch, dass der Schauspieler nicht im Umkreis stagnierte: nach dem Zugriff auf Netzwerke über VPN und FortiGate engagierte Geräte, hat er Erkennungstools - mit Versionen in Go und Python - eingesetzt, die nach der Codeanalyse Zeichen zeigen, von IA unterstützt zu werden. Der Code präsentierte redundante Kommentare, die einfach den Namen der Funktionen wiederholten, einfache Architekturen mit mehr Sorge für das Format als für die Effizienz, und JSON parsées von passenden Ketten statt robuster Deerialisierung: typische Merkmale von Code generiert oder von Sprachmodellen geholfen.
Die praktische Folge war in einigen Fällen ernst. Die Angreifer beendeten Post-Exploitationsphasen, die Erkennung mit Werkzeugen wie Nuclei, Active Directory-Verpflichtungen und Massenentfernung von Anmeldeinformationen enthalten - einschließlich Versuche, DCSync-Angriffe auszuführen, um die Domain-Controller-Datenbank zu replizieren -, Manöver, die den Boden für die Erpressung oder Ransomware-Bereitstellung vorbereiten. Organisationen aus verschiedenen Branchen und in Regionen wie Südasien, Lateinamerika, der Karibik, Westafrika und Nordeuropa wurden von Clustern engagierter Geräte erreicht.
Die von den Forschern beschriebenen lateralen Bewegungstechniken erfinden das Spielbuch der Angreifer nicht wieder: Verwendung von pass-the-hash und pass-the-Ticket, NTLM Relais und Remote Ausführung von Befehlen in Windows-Hosts. Darüber hinaus gab es ein bestimmtes Muster von Interesse für Backup-Server: Laut dem Bericht versuchten die Angreifer, Veeam Backup & Replication-Server zu adressieren, um die Vorteile von Fehlern zu nutzen, die als CVE-2023-27532 und CVE-2024-40711, die ein klassisches Muster vor dem Einsatz von Ransomware passt.
Ein offenkundiger Punkt der Studie ist die pragmatische Wahl des Angreifers: wenn sie in härtere Verteidigungen - parcheed Systeme, geschlossene Häfen oder nicht-ausbeutbare Vektoren - sie bevorzugen, dieses Opfer zu verlassen und schwächere Ziele zu suchen. Dieses Verhalten zeigt, dass die IA keine Magie macht; was sie erreicht, ist es, Aufgaben, die zuvor erforderliche Kompetenz in automatisierte und wiederholbare Prozesse umzuwandeln, die Anzahl der "Easy Siege", die eine kleine Gruppe erhalten kann, stark zu erweitern. In den Worten von CJ Moses, CISO von Amazon Integrated Security, scheint die Operation die Arbeit von wirtschaftlich motivierten Personen zu sein, die dank der IA eine operative Skala erreicht, die zuvor ein viel größeres und erfahrenes Team benötigt hätte.
Diese Schlussfolgerungen passen zu breiteren Warnungen über den Einsatz von generativen Modellen durch Cyberkriminelle. Wichtige Sicherheitsbehörden und Unternehmen haben festgestellt, dass die IA die Einstiegsschwelle für weniger qualifizierte Akteure reduziert, so dass sie Anschläge schneller und mit mehr Volumen inszenieren können. Berichte von Organisationen wie Microsoft und europäischen Cybersicherheitsagenturen dokumentieren ähnliche Trends: Die IA beschleunigt und vereinfacht viele Phasen des Angriffszyklus, ohne dass radikal neue Techniken eingeführt werden müssen. Um den technischen und strategischen Kontext zu IA-bezogenen Bedrohungen zu erweitern, institutionelle Berichte wie Digitaler Verteidigungsbericht von Microsoft und Publikationen der Agentur für Cybersicherheit der Europäischen Union ( ENISA) werden empfohlen.
Die defensive Lektion, die Forscher ziehen, ist zugleich klassisch und dringend: Die erste Widerstandslinie bleibt die grundlegende Sicherheitshygiene. Dies bedeutet zum Beispiel, das Aussetzen von Internet-Administrationsschnittstellen zu vermeiden, Standard- oder gemeinsame Anmeldeinformationen zu ersetzen, die Multifaktor-Authentifizierung für administrativen Zugriff und VPN zu ermöglichen, und das Auditing von Konten und Verwaltungssitzungen auf der Suche nach nicht autorisierten Aktivitäten. Es ist auch wichtig, Backup-Server aus dem Rest des Netzes zu isolieren und eine strenge Patch-Politik zu pflegen. Amazon besteht darauf, dass die grundlegenden Maßnahmen - Patch-Management, Anmeldepflichten Hygiene, Netzwerksegmentierung und Nachweisfähigkeiten für Post-Exploitationsindikatoren - die effektivsten Verteidigungen gegen erweiterte IA-Kampagnen bleiben.
Für Sicherheitsteams, die sich vertiefen wollen, enthält Amazons Bericht nützliche technische Details und beobachtbare Beweise, einschließlich der Spur bestimmter Hosts, die mit den Scans verbunden sind, die öffentlich konsultiert werden können. Darüber hinaus erklären spezialisierte Ressourcen spezielle Techniken, die von den Angreifern verwendet werden, wie die DCSync-Angriffe gegen Active Directory, die Semperis beschreibt im Detail, und Schwachstellendatenbanken ermöglichen es, Patches und Minderungen für bestimmte Vorfälle zu überprüfen.
Die Moral der Geschichte ist klar: Die Ankunft generativer Modelle auf das Ökosystem der kriminellen Werkzeuge verwandelt die Landschaft nicht sofort in etwas Unerkennbares, aber sie verkörpert und automatisiert Aufgaben, die zuvor die Aktivität von weniger anspruchsvollen Schauspielern begrenzt. In diesem Zusammenhang bleiben die Sicherheitsgründe auf dem neuesten Stand und die Bereitstellung robuster Vorbeugungs- und Nachweiskontrollen das zuverlässigste Rezept für die Risikominderung. Es genügt nicht, der Dunkelheit des Netzes zu vertrauen: Perimetergeräte müssen als Haupttür eines Hauses behandelt werden, das sorgfältig geschlossen und überwacht werden muss.
Wenn Sie die Infrastruktur mit FortiGate oder anderen Edge-Geräten verwalten, überprüfen Sie die offiziellen Richtlinien des Herstellers über die Aushärtung und gute Praxis, betrachten Sie die kontinuierliche Überwachung Ihrer öffentlichen Schnittstellen und bereiten Sie Antwortverfahren, die Konfiguration Integritätsprüfung und Anmelde-Drehung umfassen. Die Bedrohung ist nicht nur technisch: Es ist ein Weckruf für Organisationen aller Größen, warum die operative Disziplin in der Cybersicherheit keine sekundäre Aufgabe sein kann.
Empfohlene Quellen und Lesungen: Amazon Threat Intelligence Bericht, der die Kampagne dokumentiert ist hier verfügbar Gemüse EQs sind auf der NVD-Basis erhältlich CVE-2023-27532 und CVE-2024-40711, die technische Erklärung von DCSync erscheint in der Analyse von Semperis und für den Kontext über die Entwicklung der von IA unterstützten Bedrohungen, Digitaler Verteidigungsbericht und die politischen Dokumente und Risiken ENISA. Zur Überprüfung beobachtbarer Indikatoren wurden einige IPs und Artefakte auf Plattformen wie VirusTotal.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...
PinTheft die öffentliche Explosion, die Ihnen Wurzel auf Arch Linux geben könnte
Eine neue öffentliche Explosion hat die Fragilität des Linux-Privileg-Modells wieder auf die Oberfläche gebracht: Das V12-Sicherheitsteam nannte den Ausfall als PinTheater und v...