FortiBleed-Kampagne: Noch weitreichender als gedacht

FortiBleed zeigt, wie mangelnde Cyberhygiene zu einem existentiellen Risiko für Organisationen wird.

Bild: Getty Images / Credits: Pleasureofart

Die unter dem Namen „FortiBleed“ bekannt gewordene ist eine der bislang größten globalen Zugangsdaten-Leaks im Bereich Netzwerksicherheit – und offenbar nur die Spitze des Eisbergs. Analysen von SpyCloud Labs ergaben, dass die Angreifer eine weitaus größere Infrastruktur betreiben als ursprünglich angenommen. Betroffen sind Hunderttausende Systeme verschiedener Hersteller. Zudem offenbart der Fall den massiven Einsatz agentischer KI-Systeme sowie eine brisante geopolitische Komponente.

Stand zunächst der spektakuläre Fund von rund 74.000 kompromittierten Fortinet-Firewalls im Mittelpunkt, legt eine aktuelle Analyse von SpyCloud Labs nun nahe: Die Kampagne umfasste weit mehr als Fortinet-Geräte und bediente sich moderner Hacking-Toolchains, darunter KI-gestützte Werkzeuge, um massenhaft Netzwerkzugänge zu erbeuten.

Was bisher geschah

Mitte Juni 2026 wurde ein umfangreicher Datensatz mit Fortinet-Zugangsdaten publik, den der Sicherheitsforscher Volodymyr „Bob“ Diachenko auf einem offenen Server entdeckte. Dieser „FortiBleed“-Leak enthielt nach Angaben der Analysten gültige VPN- und Admin-Zugangsdaten für 73.932 Fortinet-Firewalls in 21.632 verschiedenen Unternehmen weltweit – mutmaßlich etwa der Hälfte aller internet-exponierten FortiGate-Geräte. Computing Deutschland berichtete darüber.

Die Daten umfassten Usernames, teils Klarnamen-Passwörter und interne E-Mail-Adressen, was auf eine Exfiltration tief aus den Gerätekonfigurationen hindeutet. Schon erste Third-Party-Untersuchungen – beispielsweise von Hudson Rock, Arctic Wolf oder SOCRadar – bestätigten die Authentizität vieler geleakter Zugangsdaten.

Zeitstrahl der Kampagne (soweit bekannt):

Multivendor-Angriff statt Einzelfall

SpyCloud fand heraus, dass der initiale Leak lediglich ein Ausschnitt aus einer beispiellosen globalen Brute-Force-Kampagne war. Die SpyCloud-Ermittler stießen auf ein standardisiertes „Harvesting Playbook“, das automatisiert und in massivem Umfang mit denselben Methoden – massenhafte Suche nach offenen Services und systematisches Durchprobieren von Zugangsdaten – neben Fortinet auch weitere Plattformen im Visier hatte:

Anmerkung: Die Zahlen basieren auf Protokolldaten der Angreifer-Infrastruktur, die SpyCloud auswerten konnte. Für Synology- und Sophos-Ziele fanden sich zwar massenhaft Adressen in den Logs, aber bislang keine kompromittierten Zugangsdaten – es ist unklar, ob dort über die Scan-Phase hinausgehende Einbrüche gelangen. Bei den knapp 163.650 getesteten MSSQL-Datenbanken fanden die Täter dagegen zwei Treffer (Zugang zum Standardkonto “sa”) und konnten sich zumindest auf diesen SQL-Servern einloggen.

Bemerkenswert ist, dass FortiGate in absoluten Zahlen zwar als einzelnes Produkt den größten Anteil hatte – doch im Gesamtbild war FortiBleed bereits von Anfang an eine Multi-Vendor-Aktion. Diese Ausweitung steht im Einklang mit anderen Berichten: So bezeichnet etwa The Hacker News die Kampagne als „Teil einer breiteren initialen Zugangsoperation, die neben Fortinet auch Synology NAS, Sophos-Firewalls, Remote Desktop Web (RDWeb) Portale, Citrix SSL-VPNs und MS-SQL-Server automatisiert per Bruteforce attackiert“.

Durch den direkten Zugriff auf die Server-Infrastruktur der Angreifer konnte SpyCloud Labs nachweisen, dass es sich um eine koordinierte Kampagne eines sogenannten Initial Access Brokers (IAB) handelt – Verkäufer von initialem Netzwerk­zugang an andere Cyberkriminelle, typischerweise Ransomware-Gruppen.

Laut SpyCloud generierten die Angreifer allein über 1,167 Milliarden Credential-Kombinationen. Die Angreifer sollen Zugriffe auf rund 320.000 eindeutigen Fortinet-Hosts sowie 2,1 Milliarden Login-Versuche gegen MSSQL-Server getestet haben. SOCRadar spricht von 659 „Credential-Pipelines“ (Angriffssträngen) innerhalb von zwei Wochen, durch die insgesamt über 110 Millionen Zugangsdaten überprüft wurden. Dieses enorme Volumen bestätigt, dass es sich um eine streng industriell ausgerichtete, vollständig skalierende und weitgehend vollautomatisierte Angriffskampagne handelt.

Dabei handelt es sich offenbar um eine opportunistische, skalierbare Angriffswelle ohne spezifisches Branchenziel, was auch SOCRadar in seinem aktuellen Bericht hervorhebt. Statt einzelne „Wunschziele“ vorab auszusuchen, haben die Betreiber in kurzer Zeit enorm viele kleine und mittelständische Unternehmen (KMU) sowie andere Organisationen gleichzeitig gescannt – mit besonderer Fokussierung auf leicht verwertbare Ziele wie kleinere Unternehmen (SMBs) und häufig exponierte Systemtypen.

KI senkt die Hürden für Angreifer

Womöglich erstmals stieß man bei FortiBleed auf den konkreten Einsatz von KI bei realen Netzwerkangriffen. Die Akteure nutzen gezielt moderne KI-Technologien, um die Effizienz ihrer Einbrüche drastisch zu steigern und die Hürden für erfolgreiche Angriffe zu senken.

So bauten die Angreifer maßgeschneiderte Schadsoftware und Angriffstools mithilfe der KI-gestützten Entwicklungsumgebung Cursor. Für die Fortbewegung innerhalb der Netzwerke und die Automatisierung der Intrusionsketten nutzten sie Cyberstrike, ein kommerziell vertriebenes, agentisches Pentesting-Framework.

Der Fall zeigt laut Analysten exemplarisch, wie generative und agentische KI-Systeme die technologische Einstiegshürde („Skill Floor“) für komplexe Netzwerk-Intrusionen in Echtzeit senken. Selbst weniger spezialisierte kriminelle Crews sind dadurch in der Lage, hochgradig automatisierte und dennoch zielgerichtete Post-Exploitation-Aktivitäten durchzuführen.

Die Täter-Infrastruktur

SpyCloud Labs konnte die Infrastruktur der Bedrohungsakteure isolieren. Das Netzwerk bestand im Kern aus drei zentralen Servern, von denen einer bis vor kurzem aktiv online war:

Dass mindestens ein Teil der Angreiferinfrastruktur bis zuletzt aktiv war, verdeutlicht den Status der Kampagne: FortiBleed war zum Zeitpunkt der Analyse noch in vollem Gange, keine abgeschlossene, historische Leaksammlung.

Auf dem Operator-Server fanden die Ermittler deutliche Indizien für eine mehrköpfige Crew, die jenseits des reinen Password-Sprayings manuell in ausgewählte Netzwerke eindrang und dort weitere Daten abgriff. Dieser „Workstation“-Host war quasi die Steuerzentrale: Über eine Laborumgebung mit 7 virtuellen Kali-Linux-Maschinen steuerten die Operatoren unter anderem OpenConnect-Tools (zum Replay abgefangener FortiGate-VPN-Session-Cookies) und Impacket-Module, um nach erfolgreichem VPN-Zugang Active-Directory-Daten zu exfiltrieren (z. B. Group Policy-Dateien, Kerberos-Tickets, NTLM-Hashes).

Auf dem „Operator“-Server stießen die Forscher zudem auf Tokens eines Cursor-Kontos, das am 19. Mai eingerichtet wurde, vermutlich um Interaktionen mit einem Code-Assistenten per Remote Terminal auszuführen. Der erzeugte Quellcode war besonders auffällig: Überlange Kommentare, eingestreute Emojis und nummerierte „Schritt 1/2/3“-Blöcke ließen erkennen, dass Machine-Learning-Modelle bei der Entwicklung halfen.

Nach etwa 12 Tagen kampagne-internem Betrieb (Ende Mai) wurde dann der separate Hashknacker-Server in Betrieb genommen, mit parallel gemieteten GPU-„Arbeitern“ (über vast.ai) zur Beschleunigung des Hash-Knackens per Hashcat/Hashtopolis. Insgesamt fanden sich im Pipeline-Cache der Täter rund 143.000 Kerberos- und 33.000 NTLM-Hashes, die aus kompromittierten Firmennetzwerken stammten und bereits in Bearbeitung waren.

Taktische Reife: Die gesamte Infrastruktur deutet auf ausgereifte Angreifer-Methodik hin. Alles wurde “systematisch und für Teamarbeit ausgelegt” konfiguriert. Standard-Tools wie C2-Frameworks (Cobalt Strike, Sliver, etc.), Hashcat/Hashtopolis für Passwörter und Offensivmodule wie OpenFortiVPN oder Impacket bildeten das Gerüst. Zugleich besaßen die Angreifer eigenentwickelte Utilities, die anhand der Indizien wohl mittels KI-Unterstützung geschrieben wurden.

Geopolitische Dimension: Datenabfluss bei Rüstungsunternehmen

Die FortiBleed-Kampagne war primär finanziell motiviert – die Täter katalogisierten ihre Opfer nach Unternehmenswert zur Vermarktung. Dennoch kam es in mindestens einem Fall zu einem exemplarischen Datenabfluss mit brisantem geostrategischem Hintergrund.

Aus einem türkischen Rüstungs­unternehmen wurden 105 GB hochsensibler Daten exfiltriert, darunter Wartungshandbücher und Videoaufnahmen von Waffensystemen, wie dem KORKUT-Flugabwehrpanzer und HISAR-Luftabwehrraketen, die im Konflikt in der Ukraine im Einsatz sind.

Dieses Einzelziel – ein NATO-Land mit Bezug zu Militärtechnologie – ist insofern bemerkenswert, als über FortiBleed sonst breit gestreute Unternehmen und Behörden kompromittiert wurden. Sicherheitsanalysten schließen nicht aus, dass neben Profitstreben auch ein strategisches Interesse am erbeuteten Material bestehen könnte, zumal russischsprachige Täter an der Kampagne beteiligt waren und regionale Kriegsparteien indirekt profitieren könnten.

Bislang fehlt jedoch ein Beleg für staatlichen Auftragsspielraum; FortiBleed wird weiterhin als gewerblicher Initial-Access-Verkauf eingestuft.

Die Spur der Broker: Wer ist „SantaAd“?

Indizien aus der Infrastruktur sprechen dafür, dass der Vorfall auf eine russischsprachige Hackergruppe zurückgeht. SpyCloud fand etwa Scripts und Kommentare in Russisch und Hinweise auf mehrere Mitwirkende in der Cloud-Lab-Umgebung. Die Analyse von SpyCloud ergab zudem, dass sich die Kampagne zeitlich an den üblichen Moskauer Bürozeiten orientierte.

So meldete sich bereits in recht frühem Stadium in dem russischsprachigen Hackerforum Exploit ein Akteur unter dem Pseudonym „SantaAd“ zu Wort. Er implizierte die Verantwortung für die Kampagne und eröffnete eine Auktion zum Verkauf von Zugängen zu knapp 7.000 Fortinet-Geräten. Nachdem erste Berichte über FortiBleed öffentlich wurden, verdoppelte er den ursprünglich geforderten Startpreis von 25.000 US-Dollar auf 60.000 US-Dollar.

Eine definitive Bestätigung, ob „SantaAd“ tatsächlich der Hauptakteur oder lediglich ein Trittbrettfahrer bzw. Reseller ist, lassen die Sicherheitsforscher jedoch offen. Die Zuverlässigkeit und Komplexität der Infrastruktur sowie die schnelle monetäre Verwertung der Daten auf Untergrundbörsen unterstreichen jedoch das Profil eines professionellen IAB-Teams.

Technische Ursachen und Handlungsbedarf

Die FortiBleed-Kampagne nutzt primär keine neuen Zero-Day-Schwachstellen. Stattdessen setzen die Angreifer auf eine Kombination aus unzureichender Passworthygiene, dem Fehlen von Multi-Faktor-Authentifizierung (MFA) und bekannten Schwachstellen oder dem Einsatz älterer Firmware-Versionen.

Rund 63 Prozent der kompromittierten Konten waren Standard- oder generische Administratorenkonten, die nie umbenannt wurden. Zudem speicherten ältere Versionen von FortiOS Passwörter als einfache SHA-256-Hashes, die sich auf modernen GPU-Clustern in kürzester Zeit offline entschlüsseln lassen.

Selbst größere Konzerne und staatliche Institutionen entgingen der Attacke nicht. Primäre waren jedoch mittelständische Organisationen das Ziel. SpyCloud zählte beispielsweise, dass fast 60 % der kompromittierten FortiGate-Geräte zu Unternehmen mit Jahresumsätzen unter 50 Mio. US-Dollar gehören. Gerade kleinere Firmen vernachlässigen oft grundlegende Sicher­heits­praktiken wie regelmäßigen Passwortwechsel oder strikte Zugriffsbeschränkungen.

Empfohlene Maßnahmen für Unternehmen:

Fazit

FortiBleed entpuppt sich als mehr als nur ein „riesiger Passwort-Leak“ – es ist ein Weckruf: Die Attacke demonstriert, wie kriminelle Gruppen industrielle Methoden mit brutaler Automatisierung und KI-Assistenz kombinieren, um massenhaft digitale Schlüssel zu erzeugen, ohne sich auf einzelne Exploits verlassen zu müssen.

Alles deutet darauf hin, dass FortiBleed zum Lehrstück für eine neue Generation von Access Brokern wird – eine Generation, die auf Schnelligkeit und Skalierbarkeit im digitalen Untergrund setzt und mit generativer KI im Rücken eine bedrohliche neue Qualität erreicht.

Angesichts des hohen Tempos sind rasches Handeln und vorausschauende Sicherheitsmaßnahmen existenziell für Organisationen – egal wie groß sie sind.