概要
ハッカーは、商用AIモデルであるDeepSeekとClaudeを使用し、全世界のFortiGateファイアウォールに対して自動化された攻撃を展開しています。これらのモデルは、基本的なミスコンフィギュレーションを高頻度の侵入キャンペーンに変換する役割を果たしています。
攻撃の詳細
2026年2月初旬、スイスのプロバイダーによってホストされたインフラストラクチャが、アクティブなコマンド&コントロールおよびステージングポイントとしてHunt.ioのAttack Captureに表示されました。このインフラは、アジア太平洋地域の産業ガス会社、トルコの通信事業者、アジアの大手メディア企業を含む複数のターゲットに対する確認された侵入に関連していました。
AIの役割
DeepSeekとClaudeは、一般的なポストコンフリクト作業をスケーリングするために使用されました。DeepSeekは、偵察出力をインジェストし、FortiGateバックアップ設定から構造化された攻撃計画を作成しました。
自動化の詳細
- MCPサーバーARXON: ARXONは、収集したデータと言語モデル間のブリッジとして機能し、ターゲットごとの知識ベースを維持しました。
- CHECKER2: Goで書かれたCHECKER2は、Docker経由で並列VPNスキャンとターゲット処理をオーケストレーションしました。ログによると、世界中の100を超える国にわたる2,500以上のFortiGate装置が自動アクセス試行のためにキューイングされました。
攻撃の影響と対策
この攻撃は、多くの企業が脆弱な管理インターフェースや単一要素認証を悪用された結果となっています。防御者は、公開FortiGate管理ポートを閉じることで攻撃面を削減し、すべてのVPNと管理者アクセスに強力なMFAを適用する必要があります。
インジケーターオブコムプロイス(IOC)
- IPアドレス: 212.11.64[.]250:9999, 185.196.11[.]225
- ASN: Global-Data System IT Corporation