Plus de 600 équipements compromis, dans plus de 55 pays, sans exploitation de vulnérabilité. Une campagne documentée par Amazon Threat Intelligence montre comment des services d’IA générative commerciaux transforment des lacunes de sécurité basiques en opération mondiale à grande échelle.
Entre janvier et février 2026, un acteur russophone à motivation financière a compromis plus de 600 appliances FortiGate dans le monde. Aucun contournement de vulnérabilité critique. Aucun arsenal étatique.
Le levier ? Des interfaces d’administration exposées, des identifiants faibles et une authentification à facteur unique. Et surtout, l’usage intensif de services d’IA générative commerciaux pour planifier, automatiser et exécuter l’ensemble de la chaîne d’attaque.
Une montée en puissance sans montée en compétence
L’acteur observé ne présente pas le profil d’un groupe APT structuré. Il s’agirait d’un individu ou d’un petit groupe à compétence technique limitée. Pourtant, il a réussi à compromettre des environnements Active Directory, exfiltrer des bases complètes d’identifiants et cibler des infrastructures de sauvegarde, étape classique avant un ransomware. Son avantage ne réside pas dans la sophistication, mais dans l’échelle.
L’IA est utilisée pour générer des plans d’attaque détaillés, produire du code opérationnel en Python ou en Go, structurer les données volées et orchestrer la reconnaissance réseau. Les outils retrouvés portent les marques d’un développement assisté par LLM : architecture simpliste, commentaires redondants, robustesse limitée. Fonctionnels, mais fragiles.
Dès que l’environnement est durci, l’attaquant échoue et passe à la cible suivante.
Des fondamentaux négligés, exploités à grande vitesse
L’accès initial repose sur un schéma classique : scan massif des ports d’administration FortiGate exposés sur Internet, tentatives d’authentification avec des identifiants réutilisés, extraction des configurations complètes des équipements.
Ces fichiers livrent des informations stratégiques : comptes VPN, identifiants administrateurs, topologie réseau, politiques de pare-feu. Les identifiants récupérés servent ensuite à pivoter vers les réseaux internes, compromettre les contrôleurs de domaine et cibler des serveurs Veeam Backup & Replication.
Un point clé ressort de l’analyse : aucune exploitation avancée n’a été nécessaire. Lorsque des correctifs sont appliqués ou que des contrôles supplémentaires sont en place, l’acteur échoue.
L’IA comme multiplicateur de volume
Amazon Threat Intelligence a identifié l’usage d’au moins deux fournisseurs de LLM commerciaux, utilisés de manière complémentaire pour planifier les attaques, générer des scripts, voire proposer des scénarios de compromission à partir de la topologie interne d’une victime.
Le volume d’outils développés laisse penser à une équipe structurée. Il s’agirait pourtant d’un acteur isolé ou quasi isolé, dont la dépendance à l’IA est totale.
La campagne, opportuniste et non sectorielle, a touché des organisations en Asie du Sud, en Amérique latine, en Afrique de l’Ouest, en Europe du Nord et en Asie du Sud-Est.
La conclusion est brutale mais rappelle les constats des derniers mois : l’IA ne crée pas de nouvelles failles. Elle industrialise l’exploitation des plus anciennes.
