Amazon emitió recientemente una advertencia de seguridad indicando que en solo cinco semanas, un hacker de habla rusa utilizó una variedad de servicios de inteligencia artificial generativa para lanzar una intrusión a gran escala en los firewalls Fortinet FortiGate y comprometió con éxito más de 600 dispositivos en 55 países.

CJ Moses, director de seguridad de la información del Departamento de Seguridad Integrada de Amazon, reveló en el último informe que esta ronda de ataques ocurrió entre el 11 de enero y el 18 de febrero de 2026. Los atacantes no explotaron las vulnerabilidades de día cero, sino que se centraron en las interfaces de administración de FortiGate expuestas en Internet, combinadas con contraseñas débiles y cuentas que carecían de autenticación multifactor para llevar a cabo intrusiones, y utilizaron además la automatización de la IA para atravesar otros dispositivos en la red de la víctima. El informe muestra que estos firewalls comprometidos se distribuyen en múltiples regiones, como el sur de Asia, América Latina, el Caribe, África occidental, el norte de Europa y el sudeste asiático. La selección de objetivos es obviamente oportunista y no está dirigida a industrias específicas.

Amazon dijo que su equipo de seguridad descubrió el marco general de la operación después de descubrir un servidor utilizado para entregar herramientas maliciosas específicamente para atacar los firewalls FortiGate. Los piratas informáticos primero escanean los puertos 443, 8443, 10443 y 4443 para encontrar la interfaz de administración de FortiGate expuesta en la red pública, y luego usan contraseñas débiles comunes para forzar la fuerza bruta y obtener acceso en lugar de explotar vulnerabilidades conocidas o desconocidas relacionadas con FortiGate.

Después de invadir con éxito el dispositivo, el atacante exportará el archivo de configuración del dispositivo y obtendrá datos clave como credenciales de usuario SSL-VPN (incluidas contraseñas recuperables), cuentas de administración, políticas de control de acceso y arquitectura de red interna, configuración de VPN IPsec, topología de red e información de enrutamiento. Luego, estos archivos de configuración fueron analizados y descifrados por herramientas, y el código fuente de estas herramientas mostró rastros claros de desarrollo asistido por IA, como comentarios redundantes en programas de reconocimiento personalizados escritos en Python y Go, arquitectura simple pero demasiado esfuerzo en el formato, uso de coincidencia de cadenas en lugar de deserialización JSON canónica y escritura de capas de compatibilidad para funciones integradas del lenguaje pero dejando documentación vacía. Amazon señaló que estas herramientas apenas pueden satisfacer las necesidades específicas de los atacantes, pero a menudo fallan en entornos complejos o bien fortificados y carecen de solidez. Esta es también una manifestación típica de "código generado por IA que no ha sido profundamente pulido".

Estas herramientas automatizadas se utilizaron para realizar un reconocimiento en profundidad de las redes comprometidas, incluido el análisis de tablas de enrutamiento, la clasificación de redes por tamaño, la realización de escaneos de puertos utilizando el escáner gogo de código abierto, la identificación de hosts y controladores de dominio SMB y la búsqueda de servicios HTTP y posibles vulnerabilidades con la ayuda de las herramientas Nuclei. Los investigadores descubrieron que cuando los atacantes encuentran sistemas que han sido parcheados oportunamente o que han sido estrictamente reforzados, pero que no pueden atravesarlos después de repetidos intentos, abandonarán estos objetivos y buscarán sistemas más vulnerables para atacar.

Más adelante en la cadena de ataque, los investigadores descubrieron documentación operativa escrita en ruso en el servidor del atacante que detalla cómo usar Meterpreter y mimikatz para realizar un ataque DCSync en un controlador de dominio de Windows para exportar hashes de contraseñas NTLM desde una base de datos de Active Directory. Además, los atacantes se dirigieron específicamente a los servidores de respaldo de Veeam Backup & Replication, utilizando scripts de PowerShell personalizados y herramientas de extracción de credenciales compiladas para intentar explotar las vulnerabilidades relacionadas con Veeam con el fin de comprometer o tomar el control de la infraestructura de respaldo antes de un posible ataque de ransomware posterior.

En un servidor descubierto por Amazon con IP 212[.]11.64.250, el equipo de seguridad localizó un script de PowerShell llamado "DecryptVeeamPasswords.ps1" que se utilizó para descifrar y abusar de las credenciales en los sistemas de respaldo de Veeam. El informe señaló que los atacantes mencionaron repetidamente en las llamadas "notas de combate" que estaban tratando de explotar múltiples vulnerabilidades, incluida la vulnerabilidad de ejecución remota de código de QNAP CVE-2019-7192, la vulnerabilidad de divulgación de información de Veeam CVE-2023-27532 y la vulnerabilidad de ejecución remota de código de Veeam CVE-2024-40711, etc.

Amazon cree que el nivel técnico general de este actor de amenazas es "bajo a moderado", pero sus capacidades de ataque se amplifican significativamente mediante el uso extensivo de servicios de inteligencia artificial generativa. Los investigadores observaron que los atacantes utilizaron al menos dos servicios de modelos de lenguaje a gran escala durante toda la operación para generar metodologías de ataque paso a paso, escribir scripts personalizados en varios idiomas, construir marcos de reconocimiento, planificar rutas de movimiento lateral y escribir documentación operativa interna. En algunos casos, los atacantes incluso enviaron la topología completa de la red interna (incluidas direcciones IP, nombres de host, credenciales y servicios conocidos) al servicio de IA, solicitando recomendaciones sobre cómo expandirse aún más dentro de la red.

Amazon enfatizó que este evento demostró claramente que los servicios comerciales de IA están reduciendo el umbral de los ciberataques, permitiendo a atacantes con poca experiencia que de otro modo tendrían dificultades para completar intrusiones complejas de forma independiente lanzar operaciones multinacionales a gran escala. Para combatir este tipo de amenaza, Amazon recomienda que los administradores de FortiGate eviten exponer las interfaces de administración a la red pública, habiliten la autenticación multifactor para cuentas clave, se aseguren de que las contraseñas de VPN no estén sincronizadas con las contraseñas de las cuentas de Active Directory y se concentren en reforzar los sistemas de respaldo. Las observaciones de Amazon se hacen eco de informes recientes de Google de que los piratas informáticos están aprovechando la IA de Gemini en todas las etapas de un ciberataque, desde el reconocimiento inicial hasta las operaciones posteriores a la intrusión.

Aproximadamente coincidiendo con el informe de Amazon, el blog de seguridad "Cyber ​​​​and Ramen" publicó un estudio independiente que revela más detalles técnicos de los atacantes que incorporan IA y grandes modelos de lenguaje directamente en el proceso de intrusión. El investigador descubrió que el servidor mal configurado 212.11.64[.]250 antes mencionado expuso 1.402 archivos y 139 subdirectorios, que no solo incluían copias de seguridad de configuración de FortiGate robadas, datos de mapeo de Active Directory, volcados de credenciales, resultados de evaluación de vulnerabilidades y documentos de planificación de ataques, sino que también contenían una gran cantidad de artefactos relacionados con interacciones de IA.

Los investigadores señalaron que el servidor está ubicado en Zurich, Suiza y está alojado en AS4264 (Global-Data System IT Corporation). Su estructura de directorios contiene código de explotación CVE, archivos de configuración de FortiGate, plantillas de escaneo de Nuclei y herramientas de extracción de credenciales de Veeam. Vale la pena señalar que dos de las carpetas denominadas "claude-0" y "claude" contienen un total de más de 200 archivos, incluido el resultado de la tarea de Claude Code, las diferencias de sesión y el estado de las palabras de aviso en caché, lo que indica que existe una interacción continua y sistemática entre el atacante y las herramientas comerciales de IA. Otra carpeta llamada "fortigate_27.123 (IP completa desensibilizada)" guarda datos de configuración e información de credenciales que se sospecha que provienen de un dispositivo FortiGate comprometido.

Un análisis más detallado también encontró que el atacante construyó un servidor de Protocolo de contexto de modelo (MCP) personalizado llamado "ARXON" como un "puente" entre los datos de reconocimiento y los grandes modelos comerciales. Los investigadores no encontraron ninguna información sobre ARXON en canales públicos y especularon que lo más probable es que el marco fuera desarrollado por los propios atacantes. En esta arquitectura, el servidor MCP es responsable de recibir datos extraídos de la red de la víctima y de los dispositivos FortiGate, ingresarlos en un modelo de lenguaje grande y luego conectar la salida generada por el modelo a otras herramientas de ataque para un análisis automatizado posterior a la explotación y planificación de ataques.

Además de ARXON, los investigadores también descubrieron una herramienta de lenguaje Go llamada CHECKER2, que se implementa en Docker y se utiliza para escanear objetivos VPN masivos en paralelo. Los registros muestran que la herramienta escaneó más de 2.500 objetivos potenciales en más de 100 países, lo que refleja la amplia cobertura del ataque. Los datos de reconocimiento recopilados de unidades FortiGate y redes internas comprometidas supuestamente se introducirán en ARXON, que utiliza grandes modelos como DeepSeek y Claude para generar un plan de ataque estructurado, que incluye cómo obtener privilegios de administrador de dominio, dónde priorizar credenciales de alto valor, pasos recomendados para la explotación y rutas específicas para la penetración lateral dentro de la red.

En algunos escenarios, Claude Code incluso está configurado para ejecutar directamente herramientas de ataque, como scripts Impacket, módulos Metasploit, hashcat, etc., sin que el atacante tenga que confirmar las instrucciones una por una. Los investigadores notaron que en unas pocas semanas, el sistema de ataque experimentó una evolución significativa: inicialmente los atacantes confiaron en el marco de código abierto HexStrike MCP, y aproximadamente ocho semanas después hicieron la transición a un sistema ARXON más automatizado y personalizado para sus propias necesidades para mejorar aún más la eficiencia de las intrusiones a gran escala.

En su conclusión, el informe independiente coincide con la evaluación de Amazon: la IA generativa en realidad desempeñó el papel de "multiplicador" en esta operación, permitiendo a los atacantes ampliar rápidamente la escala y la complejidad de sus ataques con capacidades técnicas limitadas. Los investigadores también recuerdan a los defensores que deben priorizar la aplicación de parches en los dispositivos fronterizos, restringir y monitorear el acceso SSH y auditar periódicamente los comportamientos anormales de creación de cuentas VPN para hacer frente a este tipo de intrusión automatizada utilizando IA.

Además, el investigador de seguridad de CronUp, Germán Fernández, descubrió un servidor diferente con un directorio expuesto que parecía contener herramientas de ataque generadas por IA dirigidas a dispositivos FortiWeb. Aunque aún no se ha confirmado que estas herramientas estén directamente involucradas en este ataque de FortiGate, este descubrimiento resalta una vez más que los actores de amenazas continúan explorando nuevas formas de utilizar herramientas de inteligencia artificial para expandir sus capacidades de ataque.