Amazon a publié une analyse détaillée d'une campagne inédite dans laquelle un acteur russophone a pu commettre plus de 600 pare-feu FortiGate dans 55 pays en seulement cinq semaines, entre le 11 janvier et le 18 février 2026. Ce n'était pas une exploitation de vulnérabilités inédites. ou un jour zéro : les attaquants ont profité d'interfaces de gestion accessibles sur Internet et d'identités faibles sans protection d'authentification multifactorielle pour ouvrir les portes aux réseaux concernés. Vous pouvez lire le rapport technique d'Amazon sur son blog technique officiel Voilà..
Le mode de fonctionnement était, en apparence, assez simple et dangereux pour l'efficacité: balayage massif des ports associés aux panneaux de gestion (dont 443, 8443, 10443 et 4443), tentatives de force brute avec des mots de passe communs et accès aux consoles de gestion lorsque les défenses étaient minimales. Une fois à l'intérieur, les attaquants ont retiré les configurations complètes de l'appareil : identifiants SSL-VPN récupérables, identifiants administratifs, politiques de pare-feu, configurations IPsec, carte réseau et routage interne. Cet ensemble de données leur a permis de se déplacer latéralement dans les réseaux de victimes.
La partie qui différencie cet incident des attaques traditionnelles est le mélange d'outils conventionnels avec des capacités générées par les modèles IA. Les documents Amazon que les fichiers de configuration volés ont été traités et déchiffrés par des outils en Python et Go qui montrent des signes clairs d'être conçu avec l'aide de modèles de langue: des commentaires redondants qui répètent ce que les fonctions font, une architecture épaisse plus axée sur la présentation que sur la résilience, un parseus naïf de JSON par coïncidaire chaîne et des "shims" avec documentation vide. Ces impressions parlent de code produit par IA et utilisé sans un examen approfondi, fonctionnelle dans des scénarios simples mais fragiles pour renforcer les défenses.
Avec les identifiants et la topologie en main, les attaquants ont automatisé les tâches de reconnaissance : ils ont analysé les tables de routage, classé les sous-réseaux par taille, exécuté des scans de port avec des outils publics tels que le scanner gogo, trouvé les hôtes SMB et les contrôleurs de domaine et utilisé Nuclei pour détecter les services Web exposés. Les mêmes notes opérationnelles trouvées sur les serveurs contrôlés par l'attaquant décrivent l'utilisation de Meterpreter et Mimikatz pour effectuer des attaques DCSync contre des contrôleurs Active Directory et extraire des hashes NTLM, ce qui facilite le mouvement latéral et l'augmentation des privilèges.
Les chercheurs ont également trouvé une attention marquée à l'infrastructure de sauvegarde: les attaquants ont développé et hébergé des scripts spécifiques pour cibler Veeam Backup & Replication, y compris un PowerShell nommé comme DécrypterVeeamPasswords.ps1. Attaquer les sauvegardes est une tactique classique avant de déployer des chiffrements: si vous parvenez à inutiliser ou voler les sauvegardes, la victime a moins d'options pour récupérer. Amazon a également documenté des tentatives d'exploiter des vulnérabilités connues, comme CVE-2019-7192 sur QNAP et plusieurs avertissements liés à Veeam ( CVE-2023-27532 et CVE-2024-40711), bien que nombre de ces exploitations n'aient pas réussi à gérer les systèmes estampillés et durcis.
Un aspect particulièrement inquiétant est la façon dont l'IV a été utilisé pour évaluer les capacités humaines. Amazon décrit que l'acteur a utilisé au moins deux fournisseurs de modèles de langue pour générer des méthodologies d'attaque étape par étape, créer des scripts dans différentes langues, concevoir des cadres de reconnaissance, planifier des mouvements latéraux et même écrire la documentation opérationnelle interne. À une occasion documentée, l'agresseur a transformé une carte interne du réseau de victimes - avec des adresses IP, des noms d'hôte, des références et des services identifiés - en un service d'AI et a demandé des instructions pour aller plus loin. Cela illustre la façon dont les services commerciaux IA peuvent réduire considérablement la barrière technique pour les acteurs ayant des compétences de base.
Amazon lui-même qualifie l'attaquant avec une capacité technique entre faible et moyen, mais souligne que la combinaison des connaissances de base avec les outils assistés par l'IA a augmenté son efficacité. Les outils automatiques étaient suffisants pour les réseaux non protégés, bien que dans des environnements plus rigides, ils aient généralement échoué. Lorsqu'une cible a été patchée ou configurée avec de bonnes pratiques, l'acteur a simplement passé à la prochaine cible la plus vulnérable plutôt que d'essayer de l'exploiter à fond.
D'un point de vue défensif, les recommandations sont les plus courantes, mais avec une urgence renouvelée : ne pas exposer les interfaces de gestion à Internet à moins qu'elles ne soient essentielles et protégées par des méthodes fortes; appliquer l'authentification multifactorielle dans l'accès administratif et le VPN; éviter d'utiliser des mots de passe égaux entre les services VPN et les comptes Active Directory; et protéger et segmenter les infrastructures de sauvegarde afin qu'elles ne soient pas à la merci du même ensemble d'identifications volées. Ces mesures fondamentales ont mis un terme à la tactique observée dans la campagne.
Au-delà des corrections ponctuelles, l'épisode apporte un message clair aux responsables de la sécurité et aux administrateurs : la prolifération des assistants de code et des renseignements générateurs transforme le profil de menace. Des outils qui facilitent l'écriture de scripts, la génération de playbooks et l'automatisation de la reconnaissance permettent aux attaquants ayant des connaissances limitées de monter des campagnes à l'échelle. La technologie offre non seulement de nouveaux outils aux défenseurs, mais aussi démocratise les capacités offensives.
Pour atténuer ce nouveau contexte, il convient de combiner l'hygiène numérique avec les défenses techniques et de processus : segmentation réseau qui limite la portabilité des identifiants, surveillance de l'accès administratif avec détection d'anomalies, enregistrements télémétriques qui permettent la reconstruction des mouvements latéraux, sauvegardes régulières des tests de restauration dans des environnements isolés, et audits réguliers qui identifient les interfaces exposées et les identifiants faibles. La défense en profondeur est de nouveau la meilleure réponse aux campagnes qui cherchent le moyen le plus simple.
Le rapport Amazon est accessible au public et documente en détail les artefacts techniques trouvés sur les serveurs contrôlés de l'agresseur, qui peuvent être utiles pour les équipes d'intervention et les chasseurs de menaces. Vous pouvez le consulter dans la publication officielle AWS Voilà. et vérifier les références aux outils et aux CVE dans les sources énumérées ci-dessus. Il est également recommandé d'examiner les bulletins de sécurité des fournisseurs et de confirmer que les versions déployées dans chaque organisation sont corrigées et configurées selon les guides officiels.
En termes stratégiques, cet incident rappelle que la révolution IA aura un double avantage : accélération des capacités utiles pour le bien, mais aussi amplification du risque de sécurité électronique. La réponse doit être un mélange de meilleure technologie défensive, de formation continue de l'équipement et de politiques qui réduisent la surface d'exposition. Si une chose est claire, la lutte pour protéger les infrastructures critiques n'est plus seulement contre ceux qui dominent l'explosion la plus sophistiquée, mais aussi contre ceux qui savent combiner des outils accessibles et une créativité suffisante pour exploiter les erreurs de configuration de base.
Si vous gérez FortiGate ou une plate-forme d'accès à distance, vérifiez les paramètres de gestion, activez MFA sur tous les comptes privilégiés, vérifiez les journaux et les instantanés de configuration pour une activité inhabituelle et renforcez vos sauvegardes. De petits gestes techniques aujourd'hui peuvent empêcher l'automatisation de demain de vous faire une statistique de plus.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...