A Amazon emitiu recentemente um aviso de segurança afirmando que, em apenas cinco semanas, um hacker de língua russa usou uma variedade de serviços generativos de IA para lançar uma intrusão em grande escala nos firewalls Fortinet FortiGate e comprometeu com sucesso mais de 600 dispositivos em 55 países.

CJ Moses, diretor de segurança da informação do Departamento de Segurança Integrada da Amazon, divulgou no último relatório que esta rodada de ataques ocorreu entre 11 de janeiro e 18 de fevereiro de 2026. Os invasores não exploraram vulnerabilidades de dia zero, mas se concentraram nas interfaces de gerenciamento FortiGate expostas na Internet, combinadas com senhas fracas e contas sem autenticação multifatorial para realizar intrusões, e ainda usaram a automação de IA para invadir outros dispositivos na rede da vítima. O relatório mostra que esses firewalls comprometidos estão distribuídos em diversas regiões, como Sul da Ásia, América Latina, Caribe, África Ocidental, Norte da Europa e Sudeste Asiático. A selecção do alvo é obviamente oportunista e não visa indústrias específicas.

A Amazon disse que sua equipe de segurança descobriu a estrutura geral da operação após descobrir um servidor usado para fornecer ferramentas maliciosas especificamente para atacar firewalls FortiGate. Os hackers primeiro verificam as portas 443, 8443, 10443 e 4443 para encontrar a interface de gerenciamento do FortiGate exposta na rede pública e, em seguida, usam senhas fracas comuns para força bruta para obter acesso, em vez de explorar vulnerabilidades conhecidas ou desconhecidas relacionadas ao FortiGate.

Após invadir o dispositivo com sucesso, o invasor exportará o arquivo de configuração do dispositivo e obterá dados importantes, como credenciais de usuário SSL-VPN (incluindo senhas recuperáveis), contas de gerenciamento, políticas de controle de acesso e arquitetura de rede interna, configuração de VPN IPsec, topologia de rede e informações de roteamento. Esses arquivos de configuração foram então analisados ​​e descriptografados por ferramentas, e o código-fonte dessas ferramentas mostrou traços claros de desenvolvimento assistido por IA, como comentários redundantes em programas de reconhecimento personalizados escritos em Python e Go, arquitetura simples, mas muito esforço na formatação, usando correspondência de strings em vez de desserialização JSON canônica e escrevendo camadas de compatibilidade para recursos de linguagem integrados, mas deixando documentação vazia. A Amazon destacou que essas ferramentas mal conseguem atender às necessidades específicas dos invasores, mas muitas vezes falham em ambientes complexos ou bem fortificados e carecem de robustez. Esta também é uma manifestação típica de “código gerado por IA que não foi profundamente polido”.

Essas ferramentas automatizadas foram usadas para realizar reconhecimento aprofundado de redes comprometidas, incluindo análise de tabelas de roteamento, classificação de redes por tamanho, realização de varreduras de portas usando o gogo scanner de código aberto, identificação de hosts SMB e controladores de domínio e procura de serviços HTTP e vulnerabilidades potenciais com a ajuda de ferramentas Nuclei. Os investigadores descobriram que quando os invasores encontram sistemas que foram corrigidos em tempo hábil ou que foram estritamente reforçados, mas não conseguem romper após repetidas tentativas, eles abandonarão esses alvos e, em vez disso, procurarão sistemas mais vulneráveis ​​para atacar.

Mais tarde na cadeia de ataque, os pesquisadores descobriram documentação operacional escrita em russo no servidor do invasor detalhando como usar Meterpreter e mimikatz para conduzir um ataque DCSync em um controlador de domínio do Windows para exportar hashes de senha NTLM de um banco de dados do Active Directory. Além disso, os invasores visaram especificamente os servidores de backup Veeam Backup & Replication, usando scripts PowerShell personalizados e ferramentas compiladas de extração de credenciais para tentar explorar vulnerabilidades relacionadas à Veeam, a fim de comprometer ou assumir o controle da infraestrutura de backup antes de um possível ataque subsequente de ransomware.

Em um servidor descoberto pela Amazon com IP 212[.]11.64.250, a equipe de segurança localizou um script PowerShell chamado “DecryptVeeamPasswords.ps1” que foi usado para descriptografar e abusar de credenciais em sistemas de backup da Veeam. O relatório apontou que os invasores mencionaram repetidamente nas chamadas "notas de combate" que estavam tentando explorar múltiplas vulnerabilidades, incluindo a vulnerabilidade de execução remota de código QNAP CVE-2019-7192, a vulnerabilidade de divulgação de informações Veeam CVE-2023-27532 e a vulnerabilidade de execução remota de código Veeam CVE-2024-40711, etc.

A Amazon acredita que o nível técnico geral deste ator de ameaça é “baixo a moderado”, mas as suas capacidades de ataque são significativamente amplificadas através do uso extensivo de serviços generativos de IA. Os pesquisadores observaram que os invasores usaram pelo menos dois serviços de modelo de linguagem em grande escala durante a operação para gerar metodologias de ataque passo a passo, escrever scripts personalizados em vários idiomas, construir estruturas de reconhecimento, planejar caminhos de movimento lateral e escrever documentação operacional interna. Em alguns casos, os invasores até enviaram a topologia completa da rede interna (incluindo endereços IP, nomes de host, credenciais e serviços conhecidos) ao serviço de IA, solicitando recomendações sobre como expandir ainda mais a rede.

A Amazon enfatizou que este evento demonstrou claramente que os serviços comerciais de IA estão reduzindo o limiar para ataques cibernéticos, permitindo que invasores com pouca experiência, que de outra forma teriam dificuldade em concluir invasões complexas de forma independente, lançassem operações multinacionais em grande escala. Para combater esse tipo de ameaça, a Amazon recomenda que os administradores do FortiGate evitem expor interfaces de gerenciamento à rede pública, habilitem a autenticação multifatorial para contas principais, garantam que as senhas VPN estejam fora de sincronia com as senhas das contas do Active Directory e se concentrem no fortalecimento dos sistemas de backup. As observações da Amazon ecoam relatórios recentes do Google de que os hackers estão aproveitando a Gemini AI em todas as fases de um ataque cibernético, desde o reconhecimento inicial até as operações pós-intrusão.

Aproximadamente coincidente com o relatório da Amazon, o blog de segurança “Cyber ​​​​and Ramen” publicou um estudo independente revelando mais detalhes técnicos de invasores incorporando IA e grandes modelos de linguagem diretamente no processo de intrusão. O pesquisador descobriu que o servidor 212.11.64[.]250 mal configurado acima mencionado expôs 1.402 arquivos e 139 subdiretórios, que não apenas incluíam backups de configuração roubados do FortiGate, dados de mapeamento do Active Directory, despejos de credenciais, resultados de avaliação de vulnerabilidades e documentos de planejamento de ataques, mas também continham um grande número de artefatos relacionados às interações de IA.

Os pesquisadores apontaram que o servidor está localizado em Zurique, na Suíça, e é hospedado pela AS4264 (Global-Data System IT Corporation). Sua estrutura de diretórios contém código de exploração CVE, arquivos de configuração FortiGate, modelos de varredura Nuclei e ferramentas de extração de credenciais Veeam. É importante notar que duas das pastas denominadas "claude-0" e "claude" contêm um total de mais de 200 arquivos, incluindo a saída da tarefa de Claude Code, diferenças de sessão e status de palavra de prompt em cache, indicando que há interação contínua e sistemática entre o invasor e as ferramentas comerciais de IA. Outra pasta chamada "fortigate_27.123 (IP completo dessensibilizado)" salva dados de configuração e informações de credenciais suspeitas de serem de um dispositivo FortiGate comprometido.

Uma análise mais aprofundada também descobriu que o invasor construiu um servidor Model Context Protocol (MCP) personalizado chamado "ARXON" como uma "ponte" entre dados de reconhecimento e grandes modelos comerciais. Os pesquisadores não encontraram nenhuma informação sobre o ARXON em canais públicos e especularam que a estrutura provavelmente foi desenvolvida pelos próprios invasores. Nesta arquitetura, o servidor MCP é responsável por receber os dados extraídos da rede da vítima e dos dispositivos FortiGate, inserindo-os em um grande modelo de linguagem e, em seguida, conectando a saída gerada pelo modelo a outras ferramentas de ataque para análise pós-exploração automatizada e planejamento de ataque.

Além do ARXON, os pesquisadores também descobriram uma ferramenta de linguagem Go chamada CHECKER2, que é implantada no Docker e usada para verificar alvos VPN massivos em paralelo. Os registos mostram que a ferramenta examinou mais de 2.500 alvos potenciais em mais de 100 países, refletindo a ampla cobertura do ataque. Os dados de reconhecimento coletados de unidades FortiGate comprometidas e redes internas serão supostamente alimentados no ARXON, que usa grandes modelos como DeepSeek e Claude para gerar um plano de ataque estruturado, incluindo como obter privilégios de administrador de domínio, onde priorizar credenciais de alto valor, etapas recomendadas para exploração e caminhos específicos para penetração lateral na rede.

Em alguns cenários, o Claude Code é até configurado para executar diretamente ferramentas de ataque, como scripts Impacket, módulos Metasploit, hashcat, etc., sem que o invasor precise confirmar as instruções uma por uma. Os pesquisadores notaram que, em poucas semanas, o sistema de ataque passou por uma evolução significativa: inicialmente, os invasores confiaram na estrutura HexStrike MCP de código aberto e, cerca de oito semanas depois, fizeram a transição para um sistema ARXON mais automatizado e personalizado para suas próprias necessidades, a fim de melhorar ainda mais a eficiência de invasões em grande escala.

Na sua conclusão, o relatório independente concorda com a avaliação da Amazon: a IA generativa desempenhou, na verdade, o papel de um “multiplicador” nesta operação, permitindo aos atacantes expandir rapidamente a escala e a complexidade dos seus ataques com capacidades técnicas limitadas. Os pesquisadores também lembram aos defensores que devem priorizar a correção de dispositivos de fronteira, restringir e monitorar o acesso SSH e auditar regularmente comportamentos anormais de criação de contas VPN para lidar com esse tipo de intrusão automatizada usando IA.

Além disso, o pesquisador de segurança da CronUp, Germán Fernández, descobriu um servidor diferente com um diretório exposto que parecia conter ferramentas de ataque geradas por IA visando dispositivos FortiWeb. Embora ainda não tenha sido confirmado que essas ferramentas estejam diretamente envolvidas neste ataque FortiGate, esta descoberta destaca mais uma vez que os atores da ameaça continuam a explorar novas maneiras de usar ferramentas de IA para expandir suas capacidades de ataque.