亞馬遜近日發(fā)出安全警告稱，一名講俄語的黑客在短短五周內(nèi)，借助多種生成式 AI 服務(wù)，對(duì) Fortinet FortiGate 防火墻發(fā)動(dòng)大規(guī)模入侵行動(dòng)，在 55 個(gè)國家成功攻陷了 600 余臺(tái)設(shè)備。

亞馬遜集成安全部門首席信息安全官 CJ Moses 在最新報(bào)告中披露，這輪攻擊發(fā)生在 2026 年 1 月 11 日至 2 月 18 日之間，攻擊者并未利用零日漏洞，而是集中針對(duì)暴露在互聯(lián)網(wǎng)上的 FortiGate 管理接口，結(jié)合弱密碼和缺失多因素認(rèn)證的賬號(hào)實(shí)施入侵，并進(jìn)一步利用 AI 自動(dòng)化突破受害網(wǎng)絡(luò)中的其他設(shè)備。 報(bào)告顯示，這些被攻陷的防火墻分布在南亞、拉美、加勒比地區(qū)、西非、北歐和東南亞等多個(gè)區(qū)域，目標(biāo)選擇具有明顯機(jī)會(huì)主義特征，而非鎖定特定行業(yè)。

亞馬遜表示，其安全團(tuán)隊(duì)在發(fā)現(xiàn)一臺(tái)用于投放惡意工具、專門攻擊 FortiGate 防火墻的服務(wù)器后，順藤摸瓜揭開了這次行動(dòng)的整體框架。 黑客首先通過掃描 443、8443、10443 和 4443 等端口，尋找暴露在公網(wǎng)的 FortiGate 管理接口，然后通過常見弱密碼進(jìn)行暴力破解獲取訪問權(quán)限，而非利用 FortiGate 相關(guān)的已知或未知漏洞。

在成功入侵設(shè)備后，攻擊者會(huì)導(dǎo)出設(shè)備配置文件，從中獲取 SSL-VPN 用戶憑據(jù)（含可恢復(fù)密碼）、管理賬號(hào)、訪問控制策略及內(nèi)部網(wǎng)絡(luò)架構(gòu)、IPsec VPN 配置、網(wǎng)絡(luò)拓?fù)渑c路由信息等關(guān)鍵數(shù)據(jù)。 這些配置文件隨后被工具解析和解密，而這些工具的源碼顯示出明顯的 AI 輔助開發(fā)痕跡，例如用 Python 和 Go 編寫的自定義偵察程序中出現(xiàn)冗余注釋、架構(gòu)簡(jiǎn)單但在格式上投入過多精力、采用字符串匹配而非規(guī)范 JSON 反序列化、以及為語言內(nèi)置功能編寫兼容層卻留有空文檔等特征。 亞馬遜指出，這些工具勉強(qiáng)能滿足攻擊者的特定需求，但在復(fù)雜或加固良好的環(huán)境中往往會(huì)失效，缺乏健壯性，這也是典型“未經(jīng)深入打磨的 AI 生成代碼”的表現(xiàn)。

這些自動(dòng)化工具被用于對(duì)已入侵網(wǎng)絡(luò)進(jìn)行深入偵察，包括分析路由表、按規(guī)模歸類網(wǎng)絡(luò)、使用開源 gogo 掃描器進(jìn)行端口掃描、識(shí)別 SMB 主機(jī)和域控制器、并借助 Nuclei 工具尋找 HTTP 服務(wù)和潛在漏洞。 調(diào)查人員發(fā)現(xiàn)，當(dāng)攻擊者碰到打補(bǔ)丁及時(shí)或已嚴(yán)格加固的系統(tǒng)時(shí)，頻繁嘗試仍無法突破，便會(huì)放棄這些目標(biāo)，轉(zhuǎn)而尋找更為脆弱的系統(tǒng)下手。

在攻擊鏈的后期階段，研究人員在攻擊者服務(wù)器上發(fā)現(xiàn)了用俄語撰寫的操作文檔，詳細(xì)說明如何使用 Meterpreter 和 mimikatz 對(duì) Windows 域控制器實(shí)施 DCSync 攻擊，從 Active Directory 數(shù)據(jù)庫中導(dǎo)出 NTLM 密碼哈希。 此外，攻擊者還專門針對(duì) Veeam Backup & Replication 備份服務(wù)器，使用自定義 PowerShell 腳本和編譯好的憑據(jù)提取工具，嘗試?yán)?Veeam 相關(guān)漏洞，以便在后續(xù)可能的勒索軟件攻擊前破壞或控制備份基礎(chǔ)設(shè)施。

在亞馬遜發(fā)現(xiàn)的一臺(tái)服務(wù)器（IP 為 212[.]11.64.250）上，安全團(tuán)隊(duì)定位到名為 “DecryptVeeamPasswords.ps1” 的 PowerShell 腳本，該腳本用于針對(duì) Veeam 備份系統(tǒng)中的憑據(jù)進(jìn)行解密和濫用。 報(bào)告指出，攻擊者同時(shí)在所謂“作戰(zhàn)筆記”中多次提到嘗試?yán)枚囗?xiàng)漏洞，包括 QNAP 遠(yuǎn)程代碼執(zhí)行漏洞 CVE-2019-7192、Veeam 信息泄露漏洞 CVE-2023-27532，以及 Veeam 遠(yuǎn)程代碼執(zhí)行漏洞 CVE-2024-40711 等。

亞馬遜認(rèn)為，這名威脅行為者整體技術(shù)水平處于“低到中等”，但通過廣泛使用生成式 AI 服務(wù)，其攻擊能力被顯著放大。 研究人員指出，攻擊者在整個(gè)行動(dòng)中至少使用了兩家大型語言模型服務(wù)，用于生成分步驟的攻擊方法論、編寫多語言定制腳本、構(gòu)建偵察框架、規(guī)劃橫向移動(dòng)路徑，以及撰寫內(nèi)部操作文檔。 在某些案例中，攻擊者甚至將完整的內(nèi)部網(wǎng)絡(luò)拓?fù)洌ò?IP 地址、主機(jī)名、憑據(jù)和已知服務(wù)）提交給 AI 服務(wù)，請(qǐng)求對(duì)方提供如何在該網(wǎng)絡(luò)中進(jìn)一步擴(kuò)張的建議。

亞馬遜強(qiáng)調(diào)，這次活動(dòng)清楚地展示了商業(yè) AI 服務(wù)正在降低網(wǎng)絡(luò)攻擊的門檻，使原本難以獨(dú)立完成復(fù)雜入侵的低經(jīng)驗(yàn)攻擊者也能發(fā)起跨國大規(guī)模行動(dòng)。 為應(yīng)對(duì)這類威脅，亞馬遜建議 FortiGate 管理員避免將管理接口暴露在公網(wǎng)、為關(guān)鍵賬號(hào)啟用多因素認(rèn)證、確保 VPN 密碼與 Active Directory 賬號(hào)密碼不同步，并對(duì)備份系統(tǒng)進(jìn)行重點(diǎn)加固。 亞馬遜的觀察也與Google近期報(bào)告相呼應(yīng)，后者指出黑客正在利用 Gemini AI 貫穿網(wǎng)絡(luò)攻擊的各個(gè)階段，從初始偵察到入侵后操作均有涉及。

與亞馬遜報(bào)告大致同步，安全博客 “Cyber and Ramen” 發(fā)布了一份獨(dú)立研究，披露了攻擊者將 AI 和大語言模型直接嵌入入侵流程的更多技術(shù)細(xì)節(jié)。 該研究者發(fā)現(xiàn)，前述配置錯(cuò)誤的服務(wù)器 212.11.64[.]250 暴露了 1，402 個(gè)文件和 139 個(gè)子目錄，其中不僅包括被竊取的 FortiGate 配置備份、Active Directory 映射數(shù)據(jù)、憑據(jù)轉(zhuǎn)儲(chǔ)、漏洞評(píng)估結(jié)果和攻擊規(guī)劃文檔，還包含大量與 AI 交互相關(guān)的 artefact。

研究者指出，該服務(wù)器位于瑞士蘇黎世、托管于 AS4264（Global-Data System IT Corporation），其目錄結(jié)構(gòu)內(nèi)含有 CVE 利用代碼、FortiGate 配置文件、Nuclei 掃描模板以及 Veeam 憑據(jù)提取工具等。 值得注意的是，其中兩個(gè)名為 “claude-0” 和 “claude” 的文件夾共包含 200 余個(gè)文件，內(nèi)有 Claude Code 的任務(wù)輸出、會(huì)話差分以及緩存的提示詞狀態(tài)，表明攻擊者與商用 AI 工具之間存在持續(xù)、系統(tǒng)性的交互。 另一個(gè)名為 “fortigate_27.123(完整 IP 已脫敏)” 的文件夾則保存了疑似來自某臺(tái)已攻陷 FortiGate 設(shè)備的配置數(shù)據(jù)和憑據(jù)信息。

進(jìn)一步分析還發(fā)現(xiàn)，攻擊者搭建了一個(gè)名為 “ARXON” 的自定義 Model Context Protocol（MCP）服務(wù)器，作為偵察數(shù)據(jù)與商用大模型之間的“橋梁”。 研究者未在公開渠道發(fā)現(xiàn)任何關(guān)于 ARXON 的資料，推測(cè)該框架極有可能由攻擊者自行開發(fā)。 在這套架構(gòu)中，MCP 服務(wù)器負(fù)責(zé)接收從受害網(wǎng)絡(luò)和 FortiGate 設(shè)備中抽取的數(shù)據(jù)，將其輸入大語言模型，并再將模型生成的輸出對(duì)接至其他攻擊工具，用于自動(dòng)化后滲透分析和攻擊規(guī)劃。

除 ARXON 外，研究者還發(fā)現(xiàn)一款名為 CHECKER2 的 Go 語言工具，它以 Docker 方式部署，用于并行掃描海量 VPN 目標(biāo)。 日志顯示，該工具曾對(duì) 100 多個(gè)國家的 2，500 余個(gè)潛在目標(biāo)進(jìn)行掃描，體現(xiàn)出攻擊行動(dòng)的廣泛覆蓋面。 據(jù)稱，攻擊者會(huì)將從被攻陷的 FortiGate 設(shè)備和內(nèi)部網(wǎng)絡(luò)收集的偵察數(shù)據(jù)輸入 ARXON，由其調(diào)用諸如 DeepSeek 和 Claude 等大模型生成結(jié)構(gòu)化的攻擊計(jì)劃，包括如何獲取域管理員權(quán)限、優(yōu)先在哪些位置尋找高價(jià)值憑據(jù)、推薦的利用步驟以及在網(wǎng)絡(luò)中橫向滲透的具體路徑。

在部分場(chǎng)景中，Claude Code 甚至被配置為可直接執(zhí)行攻擊工具，如 Impacket 腳本、Metasploit 模塊和 hashcat 等，而無需攻擊者逐條確認(rèn)指令。 研究者注意到，在數(shù)周時(shí)間內(nèi)，這一攻擊體系經(jīng)歷了顯著演化：最初攻擊者依賴開源的 HexStrike MCP 框架，約八周后則過渡到自動(dòng)化程度更高、專為自身需求定制的 ARXON 系統(tǒng)，以進(jìn)一步提升大規(guī)模入侵的效率。

這份獨(dú)立報(bào)告在結(jié)論部分與亞馬遜的評(píng)估形成共識(shí)：生成式 AI 在本次行動(dòng)中實(shí)際上扮演了“倍增器”的角色，使攻擊者能夠在有限技術(shù)能力的前提下快速擴(kuò)展攻擊規(guī)模和復(fù)雜度。 研究者同時(shí)提醒防守方，應(yīng)優(yōu)先為邊界設(shè)備打補(bǔ)丁、限制并監(jiān)控 SSH 訪問、定期審計(jì)異常的 VPN 賬號(hào)創(chuàng)建行為，以應(yīng)對(duì)這類借助 AI 的自動(dòng)化入侵行動(dòng)。

此外，CronUp 安全研究員 Germán Fernández 還發(fā)現(xiàn)了一臺(tái)不同的服務(wù)器，其暴露的目錄中似乎包含針對(duì) FortiWeb 設(shè)備的 AI 生成攻擊工具。 雖然這些工具目前尚未被證實(shí)直接參與本次 FortiGate 攻擊活動(dòng)，但這一發(fā)現(xiàn)再次凸顯出威脅行為者正在持續(xù)探索利用 AI 工具擴(kuò)大攻擊能力的新方式。