亞馬遜威脅情報團隊觀察到，一名以經濟利益為目的的俄語攻擊者利用多種商業生成式人工智慧服務，在 2026 年 1 月 11 日至 2 月 18 日期間入侵了 55 個國家的 600 多台 FortiGate 設備。該攻擊活動並非利用軟體漏洞，而是透過掃描暴露的管理介面並暴力破解弱的單因素憑證來取得成功，這表明人工智慧如何能夠使低技能攻擊者也能進行大規模入侵。

攻擊者取得 VPN 存取權限後，部署了一個用 Go 和 Python 編寫的自訂偵察工具。該工具明顯帶有 AI 輔助開發的痕跡，包括冗餘註釋、設計簡單、JSON 解析能力弱以及文件極少。雖然功能齊全，但程式碼缺乏健壯性，難以處理極端情況，反映出開發過程不夠完善。

該工具透過攝取 VPN 路由資料、按規模對網路進行分類、使用 gogo 連接埠掃描器進行服務發現、識別 SMB 主機和網域控制器，以及使用 Nuclei 對發現的 HTTP 服務執行漏洞掃描來自動執行存取後偵察，從而產生優先目標清單。

攻擊者部署了 PowerShell 腳本、編譯後的解密工具，並利用已知的 Veeam 漏洞進行攻擊，以竊取憑證。備份系統尤其重要，因為它們通常儲存提升的權限，任何漏洞都可能使攻擊者在部署勒索軟體之前破壞復原能力。

儘管攻擊者引用了多個 CVE 漏洞，包括 CVE-2019-7192、CVE-2023-27532 和 CVE-2024-40711，但其攻擊成功率僅限於簡單的自動化攻擊路徑。內部文件記錄了多次失敗，原因包括系統已打補丁、連接埠已關閉或作業系統版本不相容。在一個已確認的受害者環境中，攻擊者最終承認關鍵基礎設施目標受到嚴密保護，缺乏有效攻擊途徑。

資料來源：https://industrialcyber.co/vulnerabilities/ai-assisted-credential-attacks-on-fortigate-devices-could-expose-ot-networks-to-ransomware-staging/