亞馬遜近日發(fā)出安全警告稱，一名講俄語的黑客在短短五周內(nèi)，借助多種生成式 AI 服務，對 Fortinet FortiGate 防火墻發(fā)動大規(guī)模入侵行動，在 55 個國家成功攻陷了 600 余臺設備。

亞馬遜集成安全部門首席信息安全官 CJ Moses 在最新報告中披露，這輪攻擊發(fā)生在 2026 年 1 月 11 日至 2 月 18 日之間，攻擊者并未利用零日漏洞，而是集中針對暴露在互聯(lián)網(wǎng)上的 FortiGate 管理接口，結(jié)合弱密碼和缺失多因素認證的賬號實施入侵，并進一步利用 AI 自動化突破受害網(wǎng)絡中的其他設備。 報告顯示，這些被攻陷的防火墻分布在南亞、拉美、加勒比地區(qū)、西非、北歐和東南亞等多個區(qū)域，目標選擇具有明顯機會主義特征，而非鎖定特定行業(yè)。

亞馬遜表示，其安全團隊在發(fā)現(xiàn)一臺用于投放惡意工具、專門攻擊 FortiGate 防火墻的服務器后，順藤摸瓜揭開了這次行動的整體框架。 黑客首先通過掃描 443、8443、10443 和 4443 等端口，尋找暴露在公網(wǎng)的 FortiGate 管理接口，然后通過常見弱密碼進行暴力破解獲取訪問權(quán)限，而非利用 FortiGate 相關(guān)的已知或未知漏洞。

在成功入侵設備后，攻擊者會導出設備配置文件，從中獲取 SSL-VPN 用戶憑據(jù)（含可恢復密碼）、管理賬號、訪問控制策略及內(nèi)部網(wǎng)絡架構(gòu)、IPsec VPN 配置、網(wǎng)絡拓撲與路由信息等關(guān)鍵數(shù)據(jù)。 這些配置文件隨后被工具解析和解密，而這些工具的源碼顯示出明顯的 AI 輔助開發(fā)痕跡，例如用 Python 和 Go 編寫的自定義偵察程序中出現(xiàn)冗余注釋、架構(gòu)簡單但在格式上投入過多精力、采用字符串匹配而非規(guī)范 JSON 反序列化、以及為語言內(nèi)置功能編寫兼容層卻留有空文檔等特征。 亞馬遜指出，這些工具勉強能滿足攻擊者的特定需求，但在復雜或加固良好的環(huán)境中往往會失效，缺乏健壯性，這也是典型“未經(jīng)深入打磨的 AI 生成代碼”的表現(xiàn)。

這些自動化工具被用于對已入侵網(wǎng)絡進行深入偵察，包括分析路由表、按規(guī)模歸類網(wǎng)絡、使用開源 gogo 掃描器進行端口掃描、識別 SMB 主機和域控制器、并借助 Nuclei 工具尋找 HTTP 服務和潛在漏洞。 調(diào)查人員發(fā)現(xiàn)，當攻擊者碰到打補丁及時或已嚴格加固的系統(tǒng)時，頻繁嘗試仍無法突破，便會放棄這些目標，轉(zhuǎn)而尋找更為脆弱的系統(tǒng)下手。

在攻擊鏈的后期階段，研究人員在攻擊者服務器上發(fā)現(xiàn)了用俄語撰寫的操作文檔，詳細說明如何使用 Meterpreter 和 mimikatz 對 Windows 域控制器實施 DCSync 攻擊，從 Active Directory 數(shù)據(jù)庫中導出 NTLM 密碼哈希。 此外，攻擊者還專門針對 Veeam Backup & Replication 備份服務器，使用自定義 PowerShell 腳本和編譯好的憑據(jù)提取工具，嘗試利用 Veeam 相關(guān)漏洞，以便在后續(xù)可能的勒索軟件攻擊前破壞或控制備份基礎設施。

在亞馬遜發(fā)現(xiàn)的一臺服務器（IP 為 212[.]11.64.250）上，安全團隊定位到名為 “DecryptVeeamPasswords.ps1” 的 PowerShell 腳本，該腳本用于針對 Veeam 備份系統(tǒng)中的憑據(jù)進行解密和濫用。 報告指出，攻擊者同時在所謂“作戰(zhàn)筆記”中多次提到嘗試利用多項漏洞，包括 QNAP 遠程代碼執(zhí)行漏洞 CVE-2019-7192、Veeam 信息泄露漏洞 CVE-2023-27532，以及 Veeam 遠程代碼執(zhí)行漏洞 CVE-2024-40711 等。

亞馬遜認為，這名威脅行為者整體技術(shù)水平處于“低到中等”，但通過廣泛使用生成式 AI 服務，其攻擊能力被顯著放大。 研究人員指出，攻擊者在整個行動中至少使用了兩家大型語言模型服務，用于生成分步驟的攻擊方法論、編寫多語言定制腳本、構(gòu)建偵察框架、規(guī)劃橫向移動路徑，以及撰寫內(nèi)部操作文檔。 在某些案例中，攻擊者甚至將完整的內(nèi)部網(wǎng)絡拓撲（包括 IP 地址、主機名、憑據(jù)和已知服務）提交給 AI 服務，請求對方提供如何在該網(wǎng)絡中進一步擴張的建議。

亞馬遜強調(diào)，這次活動清楚地展示了商業(yè) AI 服務正在降低網(wǎng)絡攻擊的門檻，使原本難以獨立完成復雜入侵的低經(jīng)驗攻擊者也能發(fā)起跨國大規(guī)模行動。 為應對這類威脅，亞馬遜建議 FortiGate 管理員避免將管理接口暴露在公網(wǎng)、為關(guān)鍵賬號啟用多因素認證、確保 VPN 密碼與 Active Directory 賬號密碼不同步，并對備份系統(tǒng)進行重點加固。 亞馬遜的觀察也與Google近期報告相呼應，后者指出黑客正在利用 Gemini AI 貫穿網(wǎng)絡攻擊的各個階段，從初始偵察到入侵后操作均有涉及。

與亞馬遜報告大致同步，安全博客 “Cyber and Ramen” 發(fā)布了一份獨立研究，披露了攻擊者將 AI 和大語言模型直接嵌入入侵流程的更多技術(shù)細節(jié)。 該研究者發(fā)現(xiàn)，前述配置錯誤的服務器 212.11.64[.]250 暴露了 1，402 個文件和 139 個子目錄，其中不僅包括被竊取的 FortiGate 配置備份、Active Directory 映射數(shù)據(jù)、憑據(jù)轉(zhuǎn)儲、漏洞評估結(jié)果和攻擊規(guī)劃文檔，還包含大量與 AI 交互相關(guān)的 artefact。

研究者指出，該服務器位于瑞士蘇黎世、托管于 AS4264（Global-Data System IT Corporation），其目錄結(jié)構(gòu)內(nèi)含有 CVE 利用代碼、FortiGate 配置文件、Nuclei 掃描模板以及 Veeam 憑據(jù)提取工具等。 值得注意的是，其中兩個名為 “claude-0” 和 “claude” 的文件夾共包含 200 余個文件，內(nèi)有 Claude Code 的任務輸出、會話差分以及緩存的提示詞狀態(tài)，表明攻擊者與商用 AI 工具之間存在持續(xù)、系統(tǒng)性的交互。 另一個名為 “fortigate_27.123(完整 IP 已脫敏)” 的文件夾則保存了疑似來自某臺已攻陷 FortiGate 設備的配置數(shù)據(jù)和憑據(jù)信息。

進一步分析還發(fā)現(xiàn)，攻擊者搭建了一個名為 “ARXON” 的自定義 Model Context Protocol（MCP）服務器，作為偵察數(shù)據(jù)與商用大模型之間的“橋梁”。 研究者未在公開渠道發(fā)現(xiàn)任何關(guān)于 ARXON 的資料，推測該框架極有可能由攻擊者自行開發(fā)。 在這套架構(gòu)中，MCP 服務器負責接收從受害網(wǎng)絡和 FortiGate 設備中抽取的數(shù)據(jù)，將其輸入大語言模型，并再將模型生成的輸出對接至其他攻擊工具，用于自動化后滲透分析和攻擊規(guī)劃。

除 ARXON 外，研究者還發(fā)現(xiàn)一款名為 CHECKER2 的 Go 語言工具，它以 Docker 方式部署，用于并行掃描海量 VPN 目標。 日志顯示，該工具曾對 100 多個國家的 2，500 余個潛在目標進行掃描，體現(xiàn)出攻擊行動的廣泛覆蓋面。 據(jù)稱，攻擊者會將從被攻陷的 FortiGate 設備和內(nèi)部網(wǎng)絡收集的偵察數(shù)據(jù)輸入 ARXON，由其調(diào)用諸如 DeepSeek 和 Claude 等大模型生成結(jié)構(gòu)化的攻擊計劃，包括如何獲取域管理員權(quán)限、優(yōu)先在哪些位置尋找高價值憑據(jù)、推薦的利用步驟以及在網(wǎng)絡中橫向滲透的具體路徑。

在部分場景中，Claude Code 甚至被配置為可直接執(zhí)行攻擊工具，如 Impacket 腳本、Metasploit 模塊和 hashcat 等，而無需攻擊者逐條確認指令。 研究者注意到，在數(shù)周時間內(nèi)，這一攻擊體系經(jīng)歷了顯著演化：最初攻擊者依賴開源的 HexStrike MCP 框架，約八周后則過渡到自動化程度更高、專為自身需求定制的 ARXON 系統(tǒng)，以進一步提升大規(guī)模入侵的效率。

這份獨立報告在結(jié)論部分與亞馬遜的評估形成共識：生成式 AI 在本次行動中實際上扮演了“倍增器”的角色，使攻擊者能夠在有限技術(shù)能力的前提下快速擴展攻擊規(guī)模和復雜度。 研究者同時提醒防守方，應優(yōu)先為邊界設備打補丁、限制并監(jiān)控 SSH 訪問、定期審計異常的 VPN 賬號創(chuàng)建行為，以應對這類借助 AI 的自動化入侵行動。

此外，CronUp 安全研究員 Germán Fernández 還發(fā)現(xiàn)了一臺不同的服務器，其暴露的目錄中似乎包含針對 FortiWeb 設備的 AI 生成攻擊工具。 雖然這些工具目前尚未被證實直接參與本次 FortiGate 攻擊活動，但這一發(fā)現(xiàn)再次凸顯出威脅行為者正在持續(xù)探索利用 AI 工具擴大攻擊能力的新方式。