麒麟勒索軟體(Qilin ransomware)行動最近加入了利用兩個 Fortinet 漏洞的攻擊，這些漏洞允許繞過易受攻擊設備上的身份驗證並遠端執行惡意程式碼。麒麟（也被追蹤為幻影螳螂）於 2022 年 8 月以「Agenda」名義作為勒索軟體即服務 (RaaS) 行動出現，此後在其暗網洩密網站上聲稱對 310 多名受害者負責。其受害者名單中還包括一些知名組織，例如汽車巨頭陽峰、出版巨頭Lee Enterprises、澳洲維多利亞州法院服務公司以及病理服務提供者Synnovis。 Synnovis事件影響了倫敦幾家主要的NHS醫院，迫使它們取消了數百個預約和手術。
威脅情報公司 PRODAFT 發現了這些針對 Fortinet 多個漏洞的新型、部分自動化的麒麟勒索軟體攻擊，該公司還透露，威脅行為者目前主要關注西班牙語國家的組織，但他們預計該活動將擴展到全球。PRODAFT 在與 BleepingComputer 分享的私人警報中表示：「Phantom Mantis 最近在 2025 年 5 月至 6 月期間針對多個組織發起了協同入侵活動。我們相當有信心地評估，初始訪問是透過利用多個 FortiGate 漏洞實現的，包括 CVE-2024-21762、CVE-2024-55591」。
此次麒麟勒索軟體攻擊中利用的第二個 Fortinet 漏洞 (CVE-2024-21762) 已於 2 月得到修補，CISA 將其添加到主動利用的安全漏洞目錄中，並命令聯邦機構在 2 月 16 日之前確保其 FortiOS 和 FortiProxy 設備的安全。近一個月後，Shadowserver 基金會宣布發現近 15 萬台設備仍然容易受到 CVE-2024-21762 攻擊。