Mimmo Wiestål Fischetti
En ryskspråkig angripare med vad som verkar vara begränsad teknisk nivå lyckades på bara fem veckor ta sig in i över 600 Fortinet FortiGate-brandväggar världen över – genom att kombinera klassisk lösenordsbruteforce med generativ AI som “kodassistent” och planeringsverktyg.
Det framgår av en genomgång från Amazons hotunderrättelseteam. Enligt Amazon skedde intrången mellan 11 januari och 18 februari 2026.
Det rapporterar BleepingComputer.
Så tog sig angriparen in – utan zero-days
Det som sticker ut i rapporten är att Amazon inte ser några tecken på att angriparen utnyttjade nya sårbarheter i FortiGate. I stället letade personen efter exponerade administrationsgränssnitt och testade stora mängder svaga eller återanvända lösenord mot inloggningar som saknade flerfaktorskydd, enligt Amazon.
Amazon beskriver hur angriparen skannade efter FortiGate-hantering på flera vanliga portar (bland annat 443 och alternativa webbportar) och gick vidare när en kombination till slut fungerade. När miljöer var hårdare skyddade tycks angriparen ofta ha lämnat dem och sökt enklare mål.
AI som turboknapp för verktyg och spaning
När angriparen väl var inne ska de ha hämtat ut konfigurationsfiler från brandväggarna – en typ av filer som kan innehålla allt från VPN-uppgifter till nätverkskartor och admininställningar. Därefter användes AI-genererade skript för att sortera, tolka och bearbeta informationen, enligt Amazon, skriver AWS Security.
Amazon pekar också ut tydliga spår av AI-hjälpt kod i angriparens verktyg. I rapporten skriver CISO CJ Moses bland annat:
”Analysis of the source code reveals clear indicators of AI-assisted development: redundant comments that merely restate function names…”
Poängen, enligt Amazon, är inte att verktygen var “perfekta” – utan att AI gjorde det möjligt att snabbt bygga tillräckligt fungerande kod för att skala upp ett annars rätt grundläggande angrepp.
Veeam-servrar i siktet – möjligt förspel till ransomware
En särskilt oroande detalj är att angriparen enligt Amazon riktade in sig på Veeam Backup & Replication-servrar. Backupmiljöer är attraktiva mål eftersom de kan innehålla kraftfulla konton och – om de slås ut – försvårar återställning vid exempelvis ransomware. Amazon beskriver hur angriparen använde flera metoder för att försöka komma åt Veeam-miljöer och refererade till kända Veeam-sårbarheter i sina anteckningar.
Det större budskapet: lägre tröskel för storskaliga intrång
Amazons slutsats är att det här är ett tydligt exempel på hur kommersiella AI-tjänster kan sänka inträdesbarriären: en aktör som annars fastnar i “svårare” steg kan med hjälp av AI snabbare planera, skriva skript och testa sig fram – och därmed öka takten och omfattningen.
Samtidigt pekar flera rapporter på en bredare trend där AI används i fler delar av cyberkedjan – från research och phishing till kod och efterintrång. Google Threat Intelligence Group beskriver liknande mönster i sin senaste genomgång av hur hotaktörer missbrukar AI-verktyg.
Så minskar du risken enligt Amazon
Amazon lyfter framför allt “grundhygien” – sådant som stoppar även AI-upptrissade attacker:
- Se till att administrationsgränssnitt inte ligger öppna mot internet
- Inför MFA för admin- och VPN-inloggningar
- Städa upp svaga/återanvända lösenord och kontrollera återanvändning mellan VPN och AD-konton
- Hårdsäkra och isolera backupservrar samt håll dem patchade
I praktiken är budskapet rätt krasst: AI gör angripare snabbare – men det är ofta fortfarande de klassiska luckorna som först blir utnyttjade.
