Hacker usa IA para comprometer mais de 600 firewalls FortiGate em 55 países, alerta AWS
Mais de 600 equipamentos FortiGate, firewalls corporativos da Fortinet, foram violados em uma campanha coordenada que se estendeu por ao menos 55 países entre 11 de janeiro e 18 de fevereiro de 2026. O caso, detalhado em um alerta técnico assinado por C.J. Moses, CISO da Amazon Integrated Security, acende um sinal vermelho: serviços comerciais de inteligência artificial já estão permitindo que criminosos com baixa qualificação técnica conduzam ataques em larga escala.
De acordo com Moses, a investigação da Amazon Threat Intelligence mostra que um único agente de ameaça foi responsável pela ofensiva. Utilizando múltiplas ferramentas de IA generativa, essa pessoa – ou pequeno grupo – conseguiu automatizar cada etapa do ataque, desde o reconhecimento inicial até a exploração e a movimentação lateral, ampliando de forma dramática sua capacidade de ação.
As regiões com maior concentração de FortiGates comprometidos incluem Sul da Ásia, América Latina, Caribe, África Ocidental, Norte da Europa e Sudeste Asiático. Esses dispositivos costumam ser usados como primeira linha de defesa das redes corporativas, o que torna o incidente particularmente sensível: ao cair, o firewall abre caminho para o acesso profundo à infraestrutura interna das organizações.
Um ponto central destacado pela AWS é que não foram identificadas, até o momento, explorações de vulnerabilidades desconhecidas (zero-day) nos produtos da Fortinet. Em vez disso, o sucesso da campanha se deveu a falhas básicas de segurança operacional, como portas de gerenciamento expostas diretamente à internet e credenciais fracas, protegidas apenas por autenticação de fator único.
Segundo Moses, a IA atuou como um “multiplicador de força” para o invasor. A combinação de serviços comerciais de IA generativa permitiu que ele padronizasse, ajustasse e replicasse técnicas de ataque conhecidas em uma escala que antes exigiria uma equipe maior, com experiência técnica avançada. Ou seja, o diferencial não foi a sofisticação das técnicas, mas a capacidade de aplicá-las de forma massiva e automatizada.
A análise da AWS indica que o agente por trás da campanha não apresenta vínculos conhecidos com grupos de ameaça persistente avançada (APT) ou com operações patrocinadas por estados-nação. Tudo leva a crer que se trata de um indivíduo ou de um pequeno grupo motivado por ganhos financeiros. Ainda assim, o impacto operacional alcançado se aproxima do que antes era típico de grupos organizados com alta capacitação técnica.
Entre as ações realizadas após o comprometimento dos FortiGates, a AWS identificou invasões bem-sucedidas em ambientes de Active Directory de diversas organizações. Em vários casos, os invasores extraíram bancos de dados completos de credenciais, além de direcionarem ataques à infraestrutura de backup das vítimas. Atacar backups costuma ser uma etapa preparatória clássica em campanhas de ransomware, pois reduz a capacidade de recuperação e aumenta o poder de extorsão dos atacantes.
Um comportamento observado na campanha reforça a tese de que não se trata de um grupo altamente especializado, mas com grande apoio da automação: quando o invasor se deparava com ambientes bem protegidos, segmentados ou com camadas adicionais de defesa, ele não insistia na intrusão. Em vez de tentar desenvolver novas técnicas ou contornar defesas mais sofisticadas, simplesmente abandonava aquele alvo e partia para outro mais vulnerável. A “vantagem competitiva” do agente, portanto, estava na eficiência e na escala proporcionadas pela IA, e não em um nível superior de habilidade manual.
Para 2026, a expectativa de Moses é de que essa tendência se intensifique. A combinação de serviços de IA generativa cada vez mais acessíveis, documentação abundante sobre ferramentas de ataque e exposição contínua de superfícies críticas cria um cenário favorável para o aumento do crime cibernético, tanto por parte de grupos experientes quanto por atores com poucos conhecimentos técnicos. A mensagem é direta: o efeito da IA na segurança não se restringe a ataques extremamente sofisticados – ela também está “industrializando” o cibercrime de baixo e médio nível.
Diante desse quadro, o CISO da AWS reforça a importância dos fundamentos de segurança, muitas vezes negligenciados em prol de projetos mais complexos. Ele recomenda que as organizações priorizem:
– gestão rigorosa de patches para dispositivos de perímetro, como firewalls e VPNs;
– revisão e higienização de credenciais, eliminando senhas fracas, reutilizadas ou sem múltiplos fatores de autenticação;
– segmentação de rede para limitar a movimentação lateral após uma eventual invasão;
– monitoramento e detecção robustos de sinais de pós-exploração, como criação anômala de contas, movimentação de dados sensíveis e acessos fora do padrão.
Além das recomendações apontadas pela AWS, especialistas em segurança chamam atenção para um erro recorrente em muitas empresas: a exposição da interface de gerenciamento de dispositivos críticos diretamente à internet. Firewalls, roteadores e appliances de segurança costumam vir de fábrica com opções de acesso remoto habilitadas ou fáceis de ativar. Sem uma configuração cuidadosa – que inclua restrição por IP, VPN dedicada e MFA forte – esses pontos se tornam portas de entrada privilegiadas para invasores auxiliados por IA, capazes de escanear grandes faixas de endereços em pouco tempo.
Outro aspecto fundamental é a governança de identidades. O ataque aos ambientes de Active Directory descrito pela AWS mostra que, uma vez superada a barreira do firewall, o foco do invasor passa a ser o domínio de autenticação central da empresa. Contas com privilégios excessivos, falta de segregação de funções, uso de contas compartilhadas e ausência de monitoramento de logins administrativos criam um terreno fértil para a escalada de privilégios. A IA facilita não só a descoberta de credenciais fracas, mas também a análise de configurações complexas em busca de brechas.
A proteção de backups, explicitamente mencionada no alerta, merece atenção especial. Em muitos incidentes recentes de ransomware, a etapa decisiva para o sucesso do ataque foi o comprometimento prévio dos sistemas de cópia de segurança. Quando os invasores conseguem excluir, criptografar ou inutilizar backups, as organizações ficam sem alternativas técnicas viáveis, aumentando a chance de pagamento de resgate. Por isso, é crucial manter cópias offline ou imutáveis, segmentar o ambiente de backup e aplicar controles de acesso tão rigorosos quanto os do ambiente de produção.
É importante também revisar a postura de segurança em relação ao uso interno de IA. Ferramentas corporativas de IA generativa podem ser extremamente úteis para acelerar tarefas legítimas, mas, se mal configuradas, podem inadvertidamente ajudar colaboradores ou terceiros a automatizar ações inseguras. Políticas claras de uso, treinamento e monitoramento ajudam a garantir que a IA seja aplicada em benefício da defesa, e não como atalho para práticas de risco.
Para organizações que utilizam FortiGate ou outros firewalls de perímetro, o episódio serve como gatilho para uma revisão imediata de configuração. Entre as medidas práticas estão: confirmação de que a interface de gerenciamento não está exposta publicamente; adoção de VPN para qualquer acesso administrativo remoto; obrigatoriedade de MFA robusto; auditoria de todas as contas locais e administrativas; e aplicação de todas as atualizações recomendadas pelo fabricante. Também é aconselhável revisar logs em busca de acessos suspeitos, criação de novas contas ou alterações de configuração não autorizadas no período apontado no alerta.
Finalmente, o caso evidencia uma mudança estrutural no cenário de ameaças: a IA deixou de ser apenas uma buzzword para se tornar componente operacional do crime digital. A barreira de entrada está sendo rebaixada, e isso significa que a quantidade de ataques tende a crescer, mesmo que muitos continuem explorando falhas básicas. Para as empresas, a resposta passa menos por soluções milagrosas e mais por disciplina operacional, visibilidade contínua e uma cultura de segurança que trate o perímetro, as credenciais e os backups como ativos críticos, inegociáveis.