Ein russischsprachiger Angreifer hat innerhalb von nur fuenf Wochen ueber 600 FortiGate-Firewalls in 55 Laendern kompromittiert – ohne Zero-Day-Exploit, allein durch Fehlkonfigurationen und schwache Passwoerter. Sicherheitsforscher von Amazon berichten, dass dabei generative KI und grosse Sprachmodelle (LLM) systematisch eingesetzt wurden, um Werkzeuge zu entwickeln, Daten auszuwerten und naechste Angriffsschritte zu planen.
Globale FortiGate-Angriffskampagne: Ziele, Zeitraum und Opfer
Nach Angaben von CJ Moses, Director von Amazon Integrated Security, lief die Kampagne vom 11. Januar bis 18. Februar 2026. Betroffen waren Organisationen in Suedasien, Lateinamerika, Afrika, Europa und weiteren Regionen. Im Fokus standen FortiGate-Firewalls mit aus dem Internet erreichbaren Management- und VPN-Schnittstellen sowie unzureichend geschuetzter Authentifizierung.
Der Angreifer nutzte keine bislang unbekannten Sicherheitsluecken. Stattdessen stützte sich die Operation auf ein seit Jahren bekanntes Problem: oeffentlich exponierte Admin-Panels und schwache oder wiederverwendete Passwoerter ohne Multi-Faktor-Authentifizierung (MFA). Branchenberichte wie der Verizon Data Breach Investigations Report und Analysen der ENISA zeigen seit langem, dass kompromittierte Zugangsdaten zu den haeufigsten Einfallsvektoren gehoeren.
Angriffsvektor: Oeffentliche VPN-Ports und Brute-Force auf Admin-Logins
Technisch verließ sich der Angreifer auf breit angelegte Internet-Scans nach oeffentlich erreichbaren FortiGate-VPN- und Verwaltungsoberflaechen. Besonders geprueft wurden die Ports 443, 8443, 10443 und 4443, die typischerweise fuer HTTPS-basierte Admin- und VPN-Zugaenge genutzt werden.
Fand der Angreifer eine potenzielle Ziel-Firewall, setzte er Brute-Force-Angriffe ein – also das automatisierte Durchprobieren gaengiger Passwoerter, Standard-Kombinationen und schwacher Muster, bis Administrator-Anmeldedaten erfolgreich erraten wurden. Dieser Ansatz ist simpel, aber hochwirksam, wenn MFA fehlt und Passwoerter nicht streng verwaltet werden.
Nach erfolgreicher Kompromittierung exportierte der Angreifer die komplette Konfiguration der FortiGate-Systeme, darunter SSL-VPN-Zugangsdaten, Administratorpasswoerter, Firewall-Regeln, Netzwerk-Topologien, Routing-Informationen und IPsec-VPN-Settings. Diese Informationen verschafften ihm ein detailliertes Lagebild der internen Infrastruktur der Opfer.
Generative KI als Multiplikator: Auswertung und Angriffplanung mit LLM
Die ausgewerteten Konfigurationsdaten wurden mit Hilfe von Python- und Go-Skripten verarbeitet, die nach Analyse der Amazon-Experten deutliche Spuren von generativer KI aufwiesen. Typische Merkmale waren uebermaessige Kommentare, doppelte Funktionsnamen, sehr einfache Softwarearchitektur sowie eine naive JSON-Verarbeitung per String-Matching statt strukturierter Deserialisierung.
Obwohl der Quellcode technisch mittelmaessig war und zahlreiche Platzhalterfunktionen ohne echte Implementierung enthielt, erfuellte er seinen Zweck: Automatisierte Analyse der Konfigurationen, Generierung von Ziel-Listen und Aufbereitung von Daten fuer das weitere Vordringen ins Netz. Amazon bewertet die Faehigkeiten des Angreifers als „niedrig bis mittel“, betont jedoch, dass generative KI die fehlende Expertise deutlich kompensiert hat.
ARXON und CHECKER2: Infrastruktur fuer KI-gestuetzte Angriffe
Ein Sicherheitsforscher des Blogs „Cyber and Ramen“ entdeckte einen falsch konfigurierten Server des Angreifers mit 1402 Dateien, darunter gestohlene FortiGate-Konfigurationen, Active-Directory-Mappings, Zugangsdaten-Dumps, Schwachstellenberichte und detaillierte Angriffspläne.
Zentrales Element war ein kundenspezifischer MCP-Server namens ARXON, der als Proxy zwischen den entwendeten Daten und kommerziellen LLM-Diensten wie DeepSeek und Claude fungierte. ARXON speiste Netzwerk- und Konfigurationsinformationen in die Modelle ein und erhielt dafuer strukturierte, schrittweise Aktionsplaene – faktisch wurde die KI zum Berater fuer laterale Bewegung im Netzwerk.
Parallel setzte der Angreifer einen in Docker betriebenen Go-Orchestrator namens CHECKER2 ein, der zehntausende VPN-Ziele parallel scannen konnte. Logdateien weisen auf ueber 2500 Zielsysteme in mehr als 100 Laendern hin, was den hohen Automatisierungsgrad der Aufklaerungsphase unterstreicht.
Vom VPN ins Herz der IT: Domain Controller und Veeam-Backups im Fadenkreuz
Nach dem initialen Zugriff ueber VPN installierte der Angreifer eigens entwickelte Recon-Tools in Go und Python. Eine russischsprachige Bedienungsanleitung beschrieb den Einsatz klassischer Offensivwerkzeuge wie Meterpreter und mimikatz, insbesondere fuer DCSync-Angriffe auf Windows-Domain-Controller. Ziel dieser Technik ist der Diebstahl von NTLM-Hashes aus der Active-Directory-Datenbank, mit denen sich weitere Konten imitiert oder Passwoerter offline geknackt werden koennen.
Ein weiterer Schwerpunkt waren Veeam Backup & Replication-Server. Diese Systeme sind fuer Ransomware-Gruppen besonders attraktiv, weil die Kompromittierung oder Loeschung von Backups die Verhandlungsposition des Opfers massiv verschlechtert. Auch wenn Amazon in seinem oeffentlichen Bericht keinen vollendeten Ransomware-Einsatz bestaetigt, entspricht das beobachtete Vorgehen typischen Vorbereitungsphasen fuer Verschluesselungsangriffe.
Autonome LLM-Aktionen: KI trifft taktische Entscheidungen
Besonders bemerkenswert: In mehreren Faellen war Claude Code im autonomen Modus konfiguriert und startete eigenstaendig Tools wie Impacket, Metasploit und hashcat – ohne jede Einzelfreigabe durch den Operator. In einem dokumentierten Szenario uebergab der Angreifer der KI eine vollstaendige Netzwerktopologie mit IP-Adressen, Hostnamen und Passwoertern und forderte einen schrittweisen Plan fuer die seitliche Ausbreitung.
Damit zeigt sich ein neuer Trend in der Angriffspraxis: LLM werden nicht nur zum Coden, sondern fuer operative Entscheidungen im laufenden Angriff genutzt. Gleichzeitig belegt das Verhalten des Angreifers – Abbruch bei gut gehärteten oder aktualisierten Systemen und Wechsel zu leichteren Zielen – die nur begrenzte eigene Fachkenntnis, die jedoch durch KI-gestuetzte Automatisierung teilweise ausgeglichen wurde.
Die FortiGate-Incident-Serie verdeutlicht, wie stark sich der Bedrohungsraum durch generative KI veraendert: Selbst Angreifer mit begrenzten Skills koennen globale Kampagnen fahren, wenn sie standardisierte Fehlkonfigurationen (offene Admin-Ports, schwache Passwoerter, fehlende MFA) mit KI-gestuetzter Auswertung und Planung kombinieren. Organisationen sollten zeitnah reagieren, indem sie den Admin-Zugriff auf FortiGate aus dem Internet entfernen, konsequent MFA aktivieren, Passwoerter regelmaessig rotieren und segmentierte Netzarchitekturen mit strenger Zugriffskontrolle fuer VPN und Backup-Systeme aufbauen. Unternehmen, die ihre Sicherheitsprozesse fruehzeitig an die Realitaet KI-unterstuetzter Angriffe anpassen, reduzieren nicht nur ihr Angriffsfenster, sondern auch die Wahrscheinlichkeit existenzbedrohender Vorfaelle.
