Theo báo cáo của AWS, hơn 600 thiết bị tường lửa Fortinet FortiGate đã bị tấn công trong một chiến dịch sử dụng trí tuệ nhân tạo (AI) để khai thác các cổng bị rò rỉ và thông tin đăng nhập yếu.
Các cuộc tấn công này được ghi nhận từ ngày 11/1 đến ngày 18/2/2026 và không nhắm vào các lỗ hổng bảo mật cụ thể. Thay vào đó, tin tặc tập trung vào việc khai thác các giao diện quản trị bị lộ trên Internet và thông tin đăng nhập yếu không được bảo vệ bằng xác thực đa yếu tố (MFA) của FortiGate sau đó sử dụng AI để tự động hóa việc truy cập các thiết bị khác trên mạng đã bị xâm nhập. Theo AWS, chiến dịch này được thực hiện bởi một tác nhân đe dọa còn thiếu kinh nghiệm, dựa vào AI tạo sinh để triển khai các kỹ thuật tấn công đã biết.
Các nhà nghiên cứu cho biết, các tin tặc hiện đang rà quét các giao diện quản trị có thể truy cập qua các cổng 443, 8443, 10443 và 4443, đồng thời sử dụng các thông tin đăng nhập thông thường để truy cập ban đầu. “Chiến dịch nhắm mục tiêu một cách cơ hội hơn là nhắm vào một lĩnh vực, khi các tác nhân đe dọa thực hiện rà quét tự động hàng loạt để tìm kiếm các thiết bị dễ bị tổn thương”, AWS lưu ý.
Trong một số trường hợp, nhiều thiết bị FortiGate thuộc cùng một tổ chức đã bị xâm phạm, trải dài trên 55 quốc gia ở châu Phi, châu Á, khu vực Mỹ Latinh, Bắc Mỹ và châu Âu.
Sau khi xâm nhập thành công, tin tặc lợi dụng các công cụ tấn công mã nguồn mở để trích xuất các mã băm mật khẩu NTLM, thu thập toàn bộ cơ sở dữ liệu thông tin đăng nhập tên miền và lây nhiễm sang các hệ thống khác thông qua các cuộc tấn công pass-the-hash/pass-the-ticket.
Những kẻ tấn công cũng nhắm mục tiêu vào các máy chủ Veeam Backup & Replication, có thể để lấy thêm thông tin đăng nhập và phá hủy các bản sao lưu nhằm chuẩn bị cho các cuộc tấn công bằng mã độc tống tiền.
Theo AWS, các tác nhân đe dọa sử dụng ít nhất hai hệ thống LLM thương mại để lên kế hoạch tấn công, tạo ra các công cụ và hỗ trợ hoạt động, bao gồm cả việc đánh giá thời gian và tỷ lệ thành công. “Những kế hoạch này tham khảo các nghiên cứu học thuật về các tác nhân AI tấn công, cho thấy tác nhân đe dọa theo dõi các tài liệu mới nổi về kiểm thử xâm nhập có sự hỗ trợ của AI. Công nghệ này tạo ra các chuỗi lệnh chính xác về mặt kỹ thuật, nhưng kẻ tấn công gặp khó khăn trong việc thích ứng khi điều kiện khác với kế hoạch”, AWS lưu ý.
Trên cơ sở hạ tầng của kẻ tấn công, AWS đã xác định nhiều tập lệnh có khả năng được tạo ra bằng AI và được sử dụng để phân tích cấu hình, trích xuất thông tin đăng nhập, tự động hóa kết nối VPN, thực hiện quét hàng loạt và tổng hợp kết quả.
“Thông thường, số lượng và sự đa dạng của các công cụ tùy chỉnh cho thấy một nhóm phát triển có nguồn lực dồi dào. Thay vào đó, toàn bộ bộ công cụ này được tạo ra bởi một cá nhân hoặc một nhóm rất nhỏ thông qua quá trình phát triển có sự hỗ trợ của AI”, AWS cho biết.
Báo cáo nhấn mạnh các cuộc tấn công này có khả năng được thực hiện bởi một nhóm tội phạm mạng nói tiếng Nga, có động cơ tài chính và năng lực kỹ thuật từ thấp đến trung bình, dựa trên việc sử dụng rộng rãi AI trong tất cả các giai đoạn hoạt động.