Amazon heeft onlangs een beveiligingswaarschuwing uitgegeven waarin staat dat een Russisch sprekende hacker in slechts vijf weken tijd een verscheidenheid aan generatieve AI-diensten heeft gebruikt om op grote schaal in te breken in de Fortinet FortiGate-firewalls en met succes meer dan 600 apparaten in 55 landen heeft gecompromitteerd.

CJ Moses, Chief Information Security Officer van Amazon's Integrated Security Department, maakte in het laatste rapport bekend dat deze aanvalsronde plaatsvond tussen 11 januari en 18 februari 2026. De aanvallers maakten geen misbruik van zero-day-kwetsbaarheden, maar concentreerden zich op FortiGate-beheerinterfaces die op internet waren blootgesteld, gecombineerd met zwakke wachtwoorden en accounts zonder multi-factor authenticatie om inbraken uit te voeren, en gebruikten verder AI-automatisering om andere apparaten in het slachtoffernetwerk te doorbreken. Uit het rapport blijkt dat deze gecompromitteerde firewalls verspreid zijn over meerdere regio's, zoals Zuid-Azië, Latijns-Amerika, het Caribisch gebied, West-Afrika, Noord-Europa en Zuidoost-Azië. De doelgroepselectie is uiteraard opportunistisch en niet gericht op specifieke sectoren.

Amazon zei dat zijn beveiligingsteam het algemene raamwerk van de operatie heeft ontdekt nadat het een server had ontdekt die werd gebruikt om kwaadaardige tools af te leveren die specifiek bedoeld waren om FortiGate-firewalls aan te vallen. Hackers scannen eerst de poorten 443, 8443, 10443 en 4443 om de FortiGate-beheerinterface te vinden die zichtbaar is op het openbare netwerk, en gebruiken vervolgens algemene zwakke wachtwoorden om met brute kracht toegang te krijgen in plaats van bekende of onbekende kwetsbaarheden met betrekking tot FortiGate te misbruiken.

Nadat de aanvaller met succes het apparaat is binnengedrongen, exporteert hij het apparaatconfiguratiebestand en verkrijgt hij belangrijke gegevens zoals SSL-VPN-gebruikersgegevens (inclusief herstelbare wachtwoorden), beheeraccounts, toegangscontrolebeleid en interne netwerkarchitectuur, IPsec VPN-configuratie, netwerktopologie en routeringsinformatie. Deze configuratiebestanden werden vervolgens geparseerd en gedecodeerd door tools, en de broncode van deze tools vertoonde duidelijke sporen van AI-ondersteunde ontwikkeling, zoals overbodige opmerkingen in aangepaste verkenningsprogramma's geschreven in Python en Go, eenvoudige architectuur maar te veel moeite met formatteren, het gebruik van stringmatching in plaats van canonieke JSON-deserialisatie, en het schrijven van compatibiliteitslagen voor ingebouwde taalfuncties, maar met lege documentatie. Amazon wees erop dat deze tools nauwelijks aan de specifieke behoeften van aanvallers kunnen voldoen, maar vaak falen in complexe of goed versterkte omgevingen en niet robuust zijn. Dit is ook een typische manifestatie van “AI-gegenereerde code die niet diep gepolijst is.”

Deze geautomatiseerde tools werden gebruikt om diepgaande verkenningen van gecompromitteerde netwerken uit te voeren, waaronder het analyseren van routeringstabellen, het classificeren van netwerken op grootte, het uitvoeren van poortscans met behulp van de open source gogo-scanner, het identificeren van SMB-hosts en domeincontrollers, en het zoeken naar HTTP-services en potentiële kwetsbaarheden met behulp van Nuclei-tools. Onderzoekers hebben ontdekt dat wanneer aanvallers systemen tegenkomen die tijdig zijn gepatcht of strikt zijn versterkt, maar na herhaalde pogingen niet kunnen doorbreken, ze deze doelen in de steek zullen laten en in plaats daarvan zullen zoeken naar kwetsbaardere systemen om aan te vallen.

Later in de aanvalsketen ontdekten onderzoekers operationele documentatie die in het Russisch was geschreven op de server van de aanvaller, waarin werd beschreven hoe je Meterpreter en mimikatz kunt gebruiken om een ​​DCSync-aanval uit te voeren op een Windows-domeincontroller om NTLM-wachtwoordhashes uit een Active Directory-database te exporteren. Bovendien richtten aanvallers zich specifiek op Veeam Backup & Replication-back-upservers, met behulp van aangepaste PowerShell-scripts en gecompileerde tools voor het extraheren van inloggegevens, in een poging Veeam-gerelateerde kwetsbaarheden te misbruiken om de back-upinfrastructuur in gevaar te brengen of de controle over te nemen voordat een volgende mogelijke ransomware-aanval zou plaatsvinden.

Op een door Amazon ontdekte server met IP 212[.]11.64.250 heeft het beveiligingsteam een ​​PowerShell-script gevonden met de naam "DecryptVeeamPasswords.ps1" dat werd gebruikt om inloggegevens in Veeam-back-upsystemen te ontsleutelen en te misbruiken. Het rapport wees erop dat de aanvallers herhaaldelijk in de zogenaamde "gevechtsnotities" vermeldden dat ze meerdere kwetsbaarheden probeerden te misbruiken, waaronder QNAP-kwetsbaarheid voor het op afstand uitvoeren van code CVE-2019-7192, Veeam-kwetsbaarheid voor het vrijgeven van informatie CVE-2023-27532, en Veeam-kwetsbaarheid voor het uitvoeren van externe code CVE-2024-40711, enz.

Amazon is van mening dat het algemene technische niveau van deze bedreigingsactoren "laag tot matig" is, maar dat zijn aanvalsmogelijkheden aanzienlijk worden vergroot door het uitgebreide gebruik van generatieve AI-diensten. Onderzoekers merkten op dat de aanvallers tijdens de hele operatie ten minste twee grootschalige taalmodelservices gebruikten om stapsgewijze aanvalsmethoden te genereren, meertalige aangepaste scripts te schrijven, verkenningsframeworks te bouwen, laterale bewegingspaden te plannen en interne operationele documentatie te schrijven. In sommige gevallen hebben aanvallers zelfs de volledige interne netwerktopologie (inclusief IP-adressen, hostnamen, inloggegevens en bekende services) aan de AI-service voorgelegd, waarbij ze om aanbevelingen vroegen over hoe ze verder konden uitbreiden binnen het netwerk.

Amazon benadrukte dat deze gebeurtenis duidelijk aantoonde dat commerciële AI-diensten de drempel voor cyberaanvallen verlagen, waardoor aanvallers met weinig ervaring, die anders moeite zouden hebben om complexe inbraken zelfstandig uit te voeren, grootschalige, multinationale operaties kunnen lanceren. Om dit soort dreigingen te bestrijden raadt Amazon FortiGate-beheerders aan om de beheerinterfaces niet bloot te stellen aan het openbare netwerk, om meervoudige authenticatie voor belangrijke accounts in te schakelen, om ervoor te zorgen dat VPN-wachtwoorden niet synchroon lopen met de wachtwoorden van Active Directory-accounts, en om zich te concentreren op het versterken van back-upsystemen. De observaties van Amazon komen overeen met recente rapporten van Google dat hackers gebruik maken van Gemini AI in alle stadia van een cyberaanval, van de eerste verkenning tot operaties na de inbraak.

Ongeveer samenvallend met het Amazon-rapport publiceerde de beveiligingsblog ‘Cyber ​​​​en Ramen’ een onafhankelijk onderzoek waarin meer technische details werden onthuld van aanvallers die AI en grote taalmodellen rechtstreeks in het inbraakproces inbedden. De onderzoeker ontdekte dat de bovengenoemde verkeerd geconfigureerde server 212.11.64[.]250 1.402 bestanden en 139 submappen blootlegde, die niet alleen gestolen FortiGate-configuratieback-ups, Active Directory-toewijzingsgegevens, credentialdumps, kwetsbaarheidsbeoordelingsresultaten en aanvalsplanningsdocumenten bevatten, maar ook een groot aantal artefacten bevatten die verband hielden met AI-interacties.

Onderzoekers wezen erop dat de server zich in Zürich, Zwitserland bevindt en wordt gehost door AS4264 (Global-Data System IT Corporation). De directorystructuur bevat CVE-exploitcode, FortiGate-configuratiebestanden, Nuclei-scansjablonen en tools voor het extraheren van Veeam-referenties. Het is vermeldenswaard dat twee van de mappen genaamd "claude-0" en "claude" in totaal meer dan 200 bestanden bevatten, inclusief de taakuitvoer van Claude Code, sessieverschillen en de in de cache opgeslagen promptwoordstatus, wat aangeeft dat er een voortdurende en systematische interactie is tussen de aanvaller en commerciële AI-tools. Een andere map met de naam "fortigate_27.123 (full IP desensitized)" slaat configuratiegegevens en inloggegevens op die vermoedelijk afkomstig zijn van een gecompromitteerd FortiGate-apparaat.

Uit verdere analyse bleek ook dat de aanvaller een aangepaste Model Context Protocol (MCP)-server met de naam "ARXON" had gebouwd als een "brug" tussen verkenningsgegevens en commerciële grote modellen. De onderzoekers vonden geen informatie over ARXON in publieke kanalen en speculeerden dat het raamwerk hoogstwaarschijnlijk door de aanvallers zelf was ontwikkeld. In deze architectuur is de MCP-server verantwoordelijk voor het ontvangen van gegevens uit het slachtoffernetwerk en FortiGate-apparaten, het invoeren ervan in een groot taalmodel en vervolgens het verbinden van de door het model gegenereerde uitvoer met andere aanvalstools voor geautomatiseerde post-exploitatieanalyse en aanvalsplanning.

Naast ARXON ontdekten onderzoekers ook een Go-taaltool genaamd CHECKER2, die wordt ingezet in Docker en wordt gebruikt om tegelijkertijd enorme VPN-doelen te scannen. Uit logboeken blijkt dat de tool meer dan 2.500 potentiële doelwitten in meer dan 100 landen heeft gescand, wat de brede dekking van de aanval weerspiegelt. Verkenningsgegevens verzameld van gecompromitteerde FortiGate-eenheden en interne netwerken zullen naar verluidt worden ingevoerd in ARXON, dat grote modellen zoals DeepSeek en Claude gebruikt om een ​​gestructureerd aanvalsplan te genereren, inclusief hoe domeinbeheerdersrechten kunnen worden verkregen, waar prioriteit moet worden gegeven aan hoogwaardige inloggegevens, aanbevolen stappen voor exploitatie en specifieke paden voor laterale penetratie binnen het netwerk.

In sommige scenario's is Claude Code zelfs geconfigureerd om aanvalstools rechtstreeks uit te voeren, zoals Impacket-scripts, Metasploit-modules, hashcat, enz., zonder dat de aanvaller de instructies één voor één hoeft te bevestigen. De onderzoekers merkten dat het aanvalssysteem binnen een paar weken een aanzienlijke evolutie onderging: aanvankelijk vertrouwden de aanvallers op het open source HexStrike MCP-framework en ongeveer acht weken later stapten ze over op een meer geautomatiseerd ARXON-systeem dat was aangepast aan hun eigen behoeften om de efficiëntie van grootschalige inbraken verder te verbeteren.

In zijn conclusie is het onafhankelijke rapport het eens met de beoordeling van Amazon: generatieve AI speelde feitelijk de rol van een ‘multiplier’ in deze operatie, waardoor aanvallers de schaal en complexiteit van hun aanvallen snel konden uitbreiden met beperkte technische mogelijkheden. De onderzoekers herinneren verdedigers er ook aan dat ze prioriteit moeten geven aan het patchen van grensapparaten, de SSH-toegang moeten beperken en monitoren, en regelmatig abnormaal gedrag bij het aanmaken van VPN-accounts moeten controleren om dit soort geautomatiseerde inbraak met behulp van AI aan te pakken.

Bovendien ontdekte CronUp-beveiligingsonderzoeker Germán Fernández een andere server met een blootliggende map die door AI gegenereerde aanvalstools leek te bevatten die zich op FortiWeb-apparaten richtten. Hoewel nog niet is bevestigd dat deze tools rechtstreeks betrokken zijn bij deze FortiGate-aanval, benadrukt deze ontdekking nogmaals dat bedreigingsactoren nieuwe manieren blijven verkennen om AI-tools te gebruiken om hun aanvalsmogelijkheden uit te breiden.