Uma investigação da equipe de segurança Amazon Threat Intelligence revelou uma campanha de ataque em larga escala que comprometeu mais de 600 dispositivos FortiGate, distribuídos em pelo menos 55 países, entre 11 de janeiro e 18 de fevereiro de 2026, segundo relatório técnico divulgado recentemente.
De acordo com a análise, o agente malicioso — potencialmente um indivíduo ou pequeno grupo — usou serviços comerciais de inteligência artificial generativa para planejar, automatizar e escalar o ataque, mesmo sem possuir habilidades técnicas avançadas. A campanha não explorou vulnerabilidades desconhecidas (zero-days) nos firewalls, mas sim interfaces de gerenciamento expostas à internet e credenciais fracas com autenticação de fator simples para obter acesso aos dispositivos.
⚠️ Como ocorreu o ataque
Os invasores realizaram uma varredura automatizada em portas de gerenciamento frequentemente expostas, como 443, 8443, 10443 e 4443, buscando interfaces FortiGate acessíveis publicamente. Em seguida, tentaram combinações de senhas reutilizadas e fracas para ganhar acesso e, uma vez dentro, extrairam configurações completas dos dispositivos, que incluíam dados sensíveis como credenciais de usuários SSL-VPN, informações de administração e topologia de rede.
Segundo o relatório, os arquivos de configuração extraídos foram analisados com ferramentas que aparentemente usaram IA para decodificar e organizar as informações, ampliando a capacidade do atacante de navegar e explorar redes internas.
🧠 IA como multiplicador de cibercrime
Especialistas envolvidos na investigação caracterizaram a operação como uma espécie de “linha de montagem de cibercrime alimentada por IA”, em que modelos comerciais de inteligência artificial facilitaram a geração de planos de ataque, codificação de scripts e comandos de exploração em massa. Isso permitiu que um ator com recursos limitados agisse com uma escala que normalmente exigiria uma equipe técnica robusta.
🛡️ Impacto e recomendações de defesa
Após o compromisso dos dispositivos, os invasores conseguiram extrair credenciais e configurações que poderiam permitir movimentos posteriores em redes internas, como exploração de Active Directory ou preparação para ataques de ransomware.
Especialistas e a própria Amazon reforçam que as principais medidas de defesa incluem a eliminação de interfaces de gerenciamento expostas diretamente à internet, fortalecimento de credenciais e adoção de autenticação multifatorial (MFA), além de manutenção contínua de patches e atualizações de segurança nos dispositivos de borda.
📌 Fontes:
📌 AI-augmented threat actor accesses FortiGate devices at scale — Amazon Threat Intelligence Security Blog (20 fev 2026) (Amazon Web Services, Inc.)
📌 Cobertura técnica de ataque AI-assisted em firewalls FortiGate em múltiplas regiões (The Hacker News)
