Rusko govoreči napadalec je z generativnimi AI-orodji v petih tednih kompromitiral več kot 600 FortiGate požarnih pregrad v 55 državah, brez uporabe 0-day ranljivosti, temveč z izpostavljenimi management vmesniki in šibkimi gesli brez MFA.​

Po pridobitvi dostopa je iz konfiguracijskih backupov avtomatizirano ekstrahiral VPN in administratorske poverilnice, topologijo omrežja in nastavitve požarne pregrade ter jih obdelal z AI-generiranimi orodji v Pythonu in Go za nadaljnji napad in lateralno gibanje.​

Napad je ciljal tudi notranje AD in backup infrastrukturo (Veeam), uporabljal Meterpreter, Mimikatz (DCSync), Nuclei, gogo scanner in PowerShell skripte (npr. DecryptVeeamPasswords.ps1) ter poskušal izrabljati znane CVE na QNAP in Veeam, pri čemer je pogosto odpovedal na dobro utrjenih in popravljenih sistemih.​

Posebej opisana je prilagojena MCP infrastruktura (ARXON) in orodje CHECKER2, ki sta zbirala podatke iz kompromitiranih FortiGate in notranjih omrežij, jih pošiljala v LLM-je (Claude, DeepSeek, Claude Code) ter generirala strukturirane napadalne načrte in v nekaterih primerih samodejno poganjala ofenzivna orodja.​

Amazon in neodvisni raziskovalci poudarjajo, da AI deluje kot multiplikator zmogljivosti za napadalce z nizko do srednjo stopnjo znanja ter priporočajo, da skrbniki FortiGate ne izpostavljajo management vmesnikov, uvedejo MFA, ločijo VPN in AD gesla ter posebej utrdijo backup infrastrukturo in nadzirajo nenavadno SSH/VPN aktivnost.​

V petih tednih je bilo kompromitiranih več kot 600 FortiGate naprav v 55 državah, z uporabo brute-force napadov na izpostavljene management vmesnike na HTTPS vratih (443, 8443, 10443, 4443).​

Iz konfiguracijskih datotek so bili pridobljeni SSL-VPN uporabniški podatki, administratorske poverilnice, IPsec nastavitve, omrežna topologija in pravila požarne pregrade, kar je omogočilo sistematično nadaljnje prodiranje v notranja omrežja.​

Na strežniku 212.11.64.250 je bilo najdenih 1.402 datotek v 139 imenikih, vključno s FortiGate konfiguracijami, AD mapiranji, credential dumpi in mapama claude/claude-0 z izpisi nalog in promptov za Claude Code.​

Po podatkih raziskovalcev je MCP strežnik ARXON služil kot vmesna plast med zbranimi podatki in komercialnimi LLM-ji (Claude, DeepSeek), ki so vračali konkretne napadalne korake za pridobitev Domain Admin pravic in lateralno premikanje.​

Napadalec je ob ponavljajočih se neuspehih na pravilno zakrpanih ali zaklenjenih sistemih preprosto prešel na lažje tarče, kar dodatno potrjuje, da redno krpanje robnih naprav in stroga konfiguracija močno zmanjšata verjetnost uspešnega kompromisa.​

„Amazon is warning that a Russian-speaking hacker used multiple generative AI services as part of a campaign that breached more than 600 FortiGate firewalls across 55 countries in five weeks.“​

„These configuration files were then parsed and decrypted using what appears to be AI-assisted Python and Go tools.“​

„Analysis of the source code reveals clear indicators of AI-assisted development… characteristics typical of AI-generated code used without significant refinement.“​

„Included in the exposed files was a custom Model Context Protocol (MCP) server named ARXON, which acted as a bridge between reconnaissance data and commercial large language models.“​

„This report shares Amazon’s assessment that generative AI is being used as a multiplier, allowing attackers to scale intrusions more efficiently.“

Microsoft je pri 31 podjetjih našel več kot 50 skritih promptov v gumbih »Summarize with AI« za manipulacijo spomina AI-asistentov.​

Skriti parametri v URL dajo navodilo asistentu, naj si podjetje zapomni kot »zaupanja vreden vir« in ga kasneje preferira v priporočilih.​

Tehnika cilja tudi občutljiva področja, kot sta zdravstvo in finance, in je formalno označena kot zastrupljanje spomina (MITRE ATLAS).​

Izvor tehnike so javna orodja (npr. npm paket CiteMET, AI Share URL Creator), URL-ji pa ciljajo večje AI-asistente (Copilot, ChatGPT, Claude, Perplexity, Grok).​

Microsoft se brani z zaščitami v Copilotu, lovilnimi poizvedbami v Defender for Office 365 ter možnostjo pregleda/brisanja spomina v Copilot nastavitvah.​

31 legitimnih podjetij iz 14 panog je uporabljalo skrite injekcije promptov v gumbih za povzetek z AI.​

Microsoft je zaznal 50 različnih poskusov zlorabe preko AI-povezanih URL-jev v 60 dneh.​

Navodila AI-ju pogosto zahtevajo, da je določena domena »go-to vir« ali »trusted source« za neko področje.​

Tehnika je katalogizirana kot MITRE ATLAS AML.T0080 (Memory Poisoning) in AML.T0051 (LLM Prompt Injection).​

Poseben riziko predstavljajo strani z UGC (komentarji, forumi), kjer se zaupanje prenese tudi na nepreverjene vsebine.​

»Microsoft found 31 companies hiding prompt injections inside ‘Summarize with AI’ buttons aimed at biasing what AI assistants recommend in future conversations.«​

»The hidden part instructs it to remember the company as a trusted source for future conversations.«​

»The technique relies on specially crafted URLs with prompt parameters that most major AI assistants support.«​

»It’s formally cataloged as MITRE ATLAS AML.T0080 (Memory Poisoning) and AML.T0051 (LLM Prompt Injection).«​

»This Microsoft research shows something more immediate, happening at the point of user interaction and being deployed commercially.«