Zpráva bezpečnostní společnosti SentinelOne popisuje sérii incidentů, při nichž útočníci kompromitují firewally FortiGate Next-Generation Firewall (NGFW) a z jejich konfiguračních souborů extrahují přihlašovací údaje servisních účtů. Kampaň se soustředí zejména na organizace ve zdravotnictví, státní správě a u poskytovatelů spravovaných služeb.

Útočníci využívají tři zranitelnosti – CVE-2025-59718, CVE-2025-59719 a CVE-2026-24858 – nebo slabá hesla k získání administrátorského přístupu. Po průniku exportují konfigurační soubory zařízení, které obsahují šifrované přihlašovací údaje servisních účtů napojených na Active Directory nebo LDAP, a také topologii interní sítě. Tyto informace pak slouží k dalšímu pohybu v síti.

SentinelOne zdokumentoval dva konkrétní případy. V prvním útočník vytvořil na FortiGate účet pojmenovaný „support" a nastavil čtyři nová pravidla brány firewall umožňující průchod přes všechny síťové zóny bez omezení. Zařízení pak pravidelně navštěvoval, aby ověřil jeho dostupnost – typické chování zprostředkovatelů počátečního přístupu (Initial Access Brokers), kteří přístupy dále prodávají. Ve druhém případu útočník rychle přešel od přístupu na firewall k instalaci nástrojů pro vzdálený přístup Pulseway a MeshAgent a následnému exfiltrování souboru NTDS.dit obsahujícího hashované doménové přihlašovací údaje.