Amazon a récemment publié un avertissement de sécurité indiquant qu'en seulement cinq semaines, un pirate informatique russophone a utilisé divers services d'IA générative pour lancer une intrusion à grande échelle dans les pare-feu Fortinet FortiGate et a réussi à compromettre plus de 600 appareils dans 55 pays.

CJ Moses, responsable de la sécurité des informations du département de sécurité intégré d'Amazon, a révélé dans le dernier rapport que cette série d'attaques s'est produite entre le 11 janvier et le 18 février 2026. Les attaquants n'ont pas exploité les vulnérabilités du jour zéro, mais se sont concentrés sur les interfaces de gestion FortiGate exposées sur Internet, combinées à des mots de passe faibles et des comptes dépourvus d'authentification multifacteur pour mener des intrusions, et ont en outre utilisé l'automatisation de l'IA pour percer d'autres appareils du réseau victime. Le rapport montre que ces pare-feu compromis sont distribués dans plusieurs régions telles que l'Asie du Sud, l'Amérique latine, les Caraïbes, l'Afrique de l'Ouest, l'Europe du Nord et l'Asie du Sud-Est. La sélection des cibles est évidemment opportuniste plutôt que de cibler des secteurs spécifiques.

Amazon a déclaré que son équipe de sécurité avait découvert le cadre général de l'opération après avoir découvert un serveur utilisé pour fournir des outils malveillants spécifiquement destinés à attaquer les pare-feu FortiGate. Les pirates analysent d'abord les ports 443, 8443, 10443 et 4443 pour trouver l'interface de gestion FortiGate exposée sur le réseau public, puis utilisent des mots de passe faibles courants pour forcer brutalement l'accès au lieu d'exploiter les vulnérabilités connues ou inconnues liées à FortiGate.

Après avoir réussi à envahir l'appareil, l'attaquant exportera le fichier de configuration de l'appareil et obtiendra des données clés telles que les informations d'identification de l'utilisateur SSL-VPN (y compris les mots de passe récupérables), les comptes de gestion, les politiques de contrôle d'accès et l'architecture du réseau interne, la configuration VPN IPsec, la topologie du réseau et les informations de routage. Ces fichiers de configuration ont ensuite été analysés et déchiffrés par des outils, et le code source de ces outils montrait des traces claires de développement assisté par l'IA, telles que des commentaires redondants dans des programmes de reconnaissance personnalisés écrits en Python et Go, une architecture simple mais trop d'efforts de formatage, utilisant la correspondance de chaînes au lieu de la désérialisation canonique JSON et l'écriture de couches de compatibilité pour les fonctionnalités de langage intégrées mais laissant une documentation vide. Amazon a souligné que ces outils peuvent à peine répondre aux besoins spécifiques des attaquants, mais échouent souvent dans des environnements complexes ou bien renforcés et manquent de robustesse. Il s'agit également d'une manifestation typique d'un « code généré par l'IA qui n'a pas été profondément peaufiné ».

Ces outils automatisés ont été utilisés pour effectuer une reconnaissance approfondie des réseaux compromis, notamment en analysant les tables de routage, en classant les réseaux par taille, en effectuant des analyses de ports à l'aide du scanner gogo open source, en identifiant les hôtes SMB et les contrôleurs de domaine et en recherchant les services HTTP et les vulnérabilités potentielles à l'aide des outils Nuclei. Les enquêteurs ont découvert que lorsque les attaquants rencontrent des systèmes qui ont été corrigés en temps opportun ou qui ont été strictement renforcés, mais qui ne peuvent pas percer après des tentatives répétées, ils abandonnent ces cibles et recherchent à la place des systèmes plus vulnérables à attaquer.

Plus tard dans la chaîne d'attaque, les chercheurs ont découvert une documentation opérationnelle écrite en russe sur le serveur de l'attaquant détaillant comment utiliser Meterpreter et mimikatz pour mener une attaque DCSync sur un contrôleur de domaine Windows afin d'exporter les hachages de mots de passe NTLM à partir d'une base de données Active Directory. De plus, les attaquants ont spécifiquement ciblé les serveurs de sauvegarde Veeam Backup & Replication, à l’aide de scripts PowerShell personnalisés et d’outils d’extraction d’identifiants compilés pour tenter d’exploiter les vulnérabilités liées à Veeam afin de compromettre ou de prendre le contrôle de l’infrastructure de sauvegarde avant une éventuelle attaque de ransomware ultérieure.

Sur un serveur découvert par Amazon avec l'IP 212[.]11.64.250, l'équipe de sécurité a localisé un script PowerShell nommé « DecryptVeeamPasswords.ps1 » qui a été utilisé pour décrypter et abuser des informations d'identification dans les systèmes de sauvegarde Veeam. Le rapport souligne que les attaquants ont mentionné à plusieurs reprises dans les soi-disant « notes de combat » qu'ils tentaient d'exploiter plusieurs vulnérabilités, notamment la vulnérabilité d'exécution de code à distance de QNAP CVE-2019-7192, la vulnérabilité de divulgation d'informations de Veeam CVE-2023-27532 et la vulnérabilité d'exécution de code à distance de Veeam CVE-2024-40711, etc.

Amazon estime que le niveau technique global de cet acteur menaçant est « faible à modéré », mais que ses capacités d'attaque sont considérablement amplifiées grâce à l'utilisation intensive de services d'IA générative. Les chercheurs ont noté que les attaquants ont utilisé au moins deux services de modèles de langage à grande échelle tout au long de l'opération pour générer des méthodologies d'attaque étape par étape, écrire des scripts personnalisés multilingues, créer des cadres de reconnaissance, planifier des trajectoires de mouvement latéral et rédiger une documentation opérationnelle interne. Dans certains cas, les attaquants ont même soumis la topologie complète du réseau interne (y compris les adresses IP, les noms d'hôte, les informations d'identification et les services connus) au service d'IA, demandant des recommandations sur la manière de se développer davantage au sein du réseau.

Amazon a souligné que cet événement démontrait clairement que les services commerciaux d’IA abaissaient le seuil des cyberattaques, permettant à des attaquants peu expérimentés qui auraient autrement du mal à mener à bien des intrusions complexes de manière indépendante de lancer des opérations multinationales à grande échelle. Pour lutter contre ce type de menace, Amazon recommande aux administrateurs FortiGate d'éviter d'exposer les interfaces de gestion au réseau public, d'activer l'authentification multifacteur pour les comptes clés, de s'assurer que les mots de passe VPN ne sont pas synchronisés avec les mots de passe des comptes Active Directory et de se concentrer sur le renforcement des systèmes de sauvegarde. Les observations d’Amazon font écho aux récents rapports de Google selon lesquels les pirates informatiques exploitent Gemini AI à toutes les étapes d’une cyberattaque, de la reconnaissance initiale aux opérations post-intrusion.

Coïncidant à peu près avec le rapport d'Amazon, le blog de sécurité « Cyber ​​​​and Ramen » a publié une étude indépendante révélant des détails plus techniques sur les attaquants intégrant l'IA et de grands modèles de langage directement dans le processus d'intrusion. Le chercheur a découvert que le serveur mal configuré 212.11.64[.]250 susmentionné exposait 1 402 fichiers et 139 sous-répertoires, qui comprenaient non seulement des sauvegardes de configuration FortiGate volées, des données de mappage Active Directory, des vidages d'informations d'identification, des résultats d'évaluation de vulnérabilité et des documents de planification d'attaque, mais contenaient également un grand nombre d'artefacts liés aux interactions de l'IA.

Les chercheurs ont souligné que le serveur est situé à Zurich, en Suisse et est hébergé par AS4264 (Global-Data System IT Corporation). Sa structure de répertoires contient le code d'exploitation CVE, les fichiers de configuration FortiGate, les modèles d'analyse Nuclei et les outils d'extraction d'informations d'identification Veeam. Il convient de noter que deux des dossiers nommés « claude-0 » et « claude » contiennent un total de plus de 200 fichiers, y compris le résultat des tâches de Claude Code, les différences de session et l'état des mots d'invite mis en cache, indiquant qu'il existe une interaction continue et systématique entre l'attaquant et les outils d'IA commerciaux. Un autre dossier nommé « fortigate_27.123 (IP complète désensibilisée) » enregistre les données de configuration et les informations d'identification soupçonnées de provenir d'un appareil FortiGate compromis.

Une analyse plus approfondie a également révélé que l'attaquant avait construit un serveur MCP (Model Context Protocol) personnalisé nommé « ARXON » comme « pont » entre les données de reconnaissance et les grands modèles commerciaux. Les chercheurs n’ont trouvé aucune information sur ARXON sur les chaînes publiques et ont émis l’hypothèse que le framework avait très probablement été développé par les attaquants eux-mêmes. Dans cette architecture, le serveur MCP est chargé de recevoir les données extraites du réseau victime et des appareils FortiGate, de les saisir dans un grand modèle de langage, puis de connecter la sortie générée par le modèle à d'autres outils d'attaque pour une analyse automatisée post-exploitation et une planification d'attaque.

En plus d'ARXON, les chercheurs ont également découvert un outil en langage Go appelé CHECKER2, qui est déployé dans Docker et utilisé pour analyser en parallèle des cibles VPN massives. Les journaux montrent que l’outil a analysé plus de 2 500 cibles potentielles dans plus de 100 pays, ce qui reflète la large couverture de l’attaque. Les données de reconnaissance collectées à partir des unités FortiGate et des réseaux internes compromis seraient introduites dans ARXON, qui utilise de grands modèles tels que DeepSeek et Claude pour générer un plan d'attaque structuré, comprenant comment obtenir les privilèges d'administrateur de domaine, où prioriser les informations d'identification de grande valeur, les étapes recommandées pour l'exploitation et les chemins spécifiques pour la pénétration latérale au sein du réseau.

Dans certains scénarios, Claude Code est même configuré pour exécuter directement des outils d'attaque, tels que des scripts Impacket, des modules Metasploit, hashcat, etc., sans que l'attaquant n'ait à confirmer les instructions une à une. Les chercheurs ont remarqué qu'en quelques semaines, le système d'attaque a subi une évolution significative : initialement, les attaquants se sont appuyés sur le framework open source HexStrike MCP, et environ huit semaines plus tard, ils sont passés à un système ARXON plus automatisé et personnalisé pour leurs propres besoins afin d'améliorer encore l'efficacité des intrusions à grande échelle.

Dans sa conclusion, le rapport indépendant partage l'évaluation d'Amazon : l'IA générative a en réalité joué le rôle d'un « multiplicateur » dans cette opération, permettant aux attaquants d'étendre rapidement l'ampleur et la complexité de leurs attaques avec des capacités techniques limitées. Les chercheurs rappellent également aux défenseurs qu’ils doivent donner la priorité aux correctifs des appareils frontaliers, restreindre et surveiller l’accès SSH et auditer régulièrement les comportements anormaux de création de comptes VPN pour faire face à ce type d’intrusion automatisée utilisant l’IA.

De plus, Germán Fernández, chercheur en sécurité chez CronUp, a découvert un autre serveur avec un répertoire exposé qui semblait contenir des outils d'attaque générés par l'IA ciblant les appliances FortiWeb. Bien qu’il n’ait pas encore été confirmé que ces outils étaient directement impliqués dans cette attaque FortiGate, cette découverte souligne une fois de plus que les acteurs malveillants continuent d’explorer de nouvelles façons d’utiliser les outils d’IA pour étendre leurs capacités d’attaque.