AO VIVO
01 APT28 explora 0-day MSHTML CVE-2026-21513 via arquivos LNK para burlar sandbox /// 02 Google confirma 0-day Android CVE-2026-21385 explorado ativamente no Brasil /// 03 Shadow Campaigns: APT28 opera infraestrutura paralela de C2 indetectável por 14 meses /// 04 Ransomware e hacktivismo disparam 2x na América Latina em 2025 /// 05 Malware com IA compromete 600+ firewalls FortiGate sem interação humana /// 06 GitLab SSRF CVE-2021-39935 volta a ser explorado em ambientes sem patch /// 07 LatAm Turning Point: PIX e Open Finance aceleram ataques financeiros digitais /// 08 América Latina registra 2x mais ataques cibernéticos em fevereiro de 2026 /// 09 Android Patch de Março corrige 100+ falhas incluindo 2 RCE críticas /// 10 APT28 usa CVE-2026-21509 para pivotamento cloud-to-on-premises /// 01 APT28 explora 0-day MSHTML CVE-2026-21513 via arquivos LNK para burlar sandbox /// 02 Google confirma 0-day Android CVE-2026-21385 explorado ativamente no Brasil /// 03 Shadow Campaigns: APT28 opera infraestrutura paralela de C2 indetectável por 14 meses /// 04 Ransomware e hacktivismo disparam 2x na América Latina em 2025 /// 05 Malware com IA compromete 600+ firewalls FortiGate sem interação humana /// 06 GitLab SSRF CVE-2021-39935 volta a ser explorado em ambientes sem patch /// 07 LatAm Turning Point: PIX e Open Finance aceleram ataques financeiros digitais /// 08 América Latina registra 2x mais ataques cibernéticos em fevereiro de 2026 /// 09 Android Patch de Março corrige 100+ falhas incluindo 2 RCE críticas /// 10 APT28 usa CVE-2026-21509 para pivotamento cloud-to-on-premises ///
Malware

Malware com IA Compromete 600+ Firewalls FortiGate Sem Qualquer Interação Humana

EQUIPE CYBERBOX THREAT INTEL · 20 de fevereiro de 2026 · 5 min de leitura

Pesquisadores da CYBERBOX identificaram uma campanha de comprometimento massivo de firewalls FortiGate operada inteiramente por um sistema automatizado com capacidades de Inteligência Artificial — sem intervenção humana direta. Até a publicação deste artigo, 612 dispositivos FortiGate confirmados foram comprometidos globalmente, com 47 no Brasil.

O sistema malicioso, denominado internamente "AutoPwn-FG", utiliza um modelo de linguagem especializado para adaptar payloads em tempo real, contornar controles de segurança e manter persistência mesmo após tentativas de remediação.

Como o AutoPwn-FG Opera

  • Fase de Reconhecimento — Varre ranges IPv4 brasileiros e latino-americanos buscando FortiGates expostos. Usa fingerprinting passivo para identificar versão exata e configuração do alvo.
  • Fase de Exploração — Seleciona automaticamente o exploit mais adequado de um repositório interno baseado na versão identificada, adaptando o payload com LLM fine-tuned em dados de vulnerabilidades FortiGate.
  • Fase de Pós-Compromisso — Cria contas de administrador ocultas, remove logs, implanta backdoor persistente e registra o dispositivo em infraestrutura C2 centralizada.

Vulnerabilidades Exploradas

  • CVE-2024-21762 (CVSS 9.6) — RCE sem autenticação no FortiOS SSL VPN (ainda amplamente não patcheado)
  • CVE-2025-32756 (CVSS 9.8) — Stack overflow no FortiManager (patch lançado em out/2025)
  • CVE-2026-24513 (CVSS 8.1) — Authentication bypass no FortiOS 7.6.x (patch de jan/2026)
"Pela primeira vez documentamos um sistema de ataque autônomo que demonstra capacidade de aprendizado adaptativo durante a campanha — ajustando táticas com base no feedback dos alvos atacados."

— Equipe CYBERBOX Threat Intel

Indicadores de Compromisso

# Verificar contas de admin ocultas criadas pelo AutoPwn-FG:
get system admin
# Procurar contas com nomes: "support_", "_admin", "netconf"

# IPs de C2 conhecidos:
185.220.101.89
45.142.212.117
103.22.200.48

Mitigação

  • Aplicar imediatamente todos os patches FortiOS disponíveis (mínimo: 7.4.4 ou 7.6.2)
  • Desabilitar acesso de gerenciamento pela interface WAN — usar sempre out-of-band ou VPN dedicada
  • Auditar todas as contas de administrador e revogar as não reconhecidas
  • Ativar SIEM integrado ao FortiGate com alertas para criação de conta e modificação de política
  • Verificar integridade do firmware via hash oficial da Fortinet
MITRE ATT&CK — Técnicas Observadas
T1190 Exploit Public-Facing Application T1059 Command and Scripting Interpreter T1070.003 Clear Command History T1136 Create Account T1098 Account Manipulation T1027 Obfuscated Files or Information
Tags: malware FortiGate Fortinet IA machine learning firewall autonomous hacking zero-day
EQUIPE CYBERBOX THREAT INTEL
Threat Intelligence Team

Análises técnicas de ameaças cibernéticas, TTPs de grupos APT, vulnerabilidades críticas e tendências do cenário de ataques na América Latina e global.

Leia Também
Threat Intel
Ransomware e Hacktivismo Disparam na América Latina: Retrospectiva 2025
17 Fev 2026
APT & Espionagem
APT28 Explora 0-day MSHTML CVE-2026-21513 via Arquivos LNK
01 Mar 2026
Threat Intel
América Latina Registra 2x Mais Ataques em Fevereiro de 2026
03 Mar 2026