Il 2 luglio 2026 SOCRadar ha reso pubblica una scoperta che ricompone un pezzo del mercato del crimine informatico: un operatore del gruppo FortiBleed, broker di accesso iniziale specializzato nel compromettere firewall FortiGate, ha effettuato accessi ai pannelli di negoziazione dei ransomware INC e Lynx da infrastruttura riconducibile alla stessa operazione. La prova, emersa da un errore di sicurezza operativa degli attaccanti, documenta come credenziali di perimetro vengano monetizzate attraverso fornitura a clienti multipli.
- Un singolo operatore FortiBleed ha effettuato l'accesso ai pannelli di negoziazione sia di INC Ransom che di Lynx da infrastruttura condivisa, indicando fornitura di accesso a più clienti ransomware
- SOCRadar ha recuperato file interni, log e documentazione operativa per un errore di sicurezza degli attaccanti, ottenendo visibilità su circa 200 server operativi aggiuntivi
- La campagna ha targetizzato circa 430.000 firewall FortiGate globalmente, con 409 target con accesso amministrativo confermato e 354 con catena di attacco completa
- Almeno 12 deployment ransomware confermati e oltre 110 milioni di credenziali raccolte dal febbraio 2026
- SOCRadar CISO Ensar Seker: il gruppo IAB appare separato da INC/Lynx, che probabilmente pagano per l'accesso
Il pannello doppio: la prova della fornitura multi-cliente
La scoperta decisiva riguarda un singolo operatore attivo sui pannelli di negoziazione di INC Ransom e Lynx. Secondo quanto documentato da SOCRadar e ripreso da Dark Reading, l'operatore utilizzava infrastruttura riconducibile a FortiBleed per accedere alle trattative con le vittime di entrambi i gruppi ransomware.
I dati delle vittime di FortiBleed si sovrappongono con le organizzazioni elencate sul sito di leak di INC Ransom. SecurityWeek riporta che un open directory collegato a INC conteneva dataset con vittime in comune, e che un documento di tracciamento interno mostrava lo stato di deployment.
Ensar Seker, CISO di SOCRadar, ha affermato che "il gruppo IAB appare separato dalle gang INC/Lynx, che probabilmente pagano per l'accesso". Questa distinzione è centrale: l'evidenza non indica integrazione verticale, ma un fornitore che serve più clienti nel mercato dell'accesso.
"Finding a single operator working both panels, using infrastructure traceable back to FortiBleed, is the clearest evidence yet that FortiGate credentials harvested through this campaign are being handed off, or used directly, for ransomware deployment" — SOCRadar, via Dark Reading
Seker ha inoltre descritto un "access-supply layer" in cui ambienti Fortinet compromessi e dati delle vittime vengono raccolti, validati e potenzialmente monetizzati o passati a valle.
L'architettura di FortiBleed: sniffer, backdoor e scala operativa
Il cuore tecnico dell'operazione è uno sniffer personalizzato scritto in Golang, denominato "FortiGate Sniffer", distribuito su circa 11.000-19.000 dispositivi secondo BleepingComputer. Il numero è sceso dopo le notifiche alle vittime. Lo strumento intercetta passivamente il traffico VPN e di autenticazione.
Su sistemi compromessi sono stati rinvenuti account backdoor persistenti con username "adminin". L'operazione mostra una struttura organizzativa definita: il dossier di SOCRadar indicava un nucleo di circa 20 individui con ruoli strutturati.
Oltre 200 server operativi aggiuntivi sono stati scoperti oltre al cluster originale. Hackread riporta 500 server identificati o associati all'operazione; altre fonti utilizzano il termine "identified" piuttosto che "seized", e lo stato di eventuale sequestro non è confermato indipendentemente.
I numeri della campagna: 409 target con accesso admin confermato, 354 con catena di attacco completa (VPN → domain controller → domain admin), almeno 12 deployment ransomware con centinaia di endpoint crittografati. Le credenziali raccolte superano i 110 milioni dal febbraio 2026.
Espansione oltre Fortinet: Citrix e la zero-day Nextcloud
L'operazione FortiBleed mostra segni di espansione oltre l'ecosistema Fortinet. The Hacker News documenta la scoperta di un elenco di target dedicato a ambienti Citrix, con circa 29.000 indirizzi IP e 37 domini. Seker ha precisato che questo materiale indica attività di ricognizione, non exploitation confermata.
SOCRadar ha inoltre riferito che gli attori dispongono di almeno una vulnerabilità zero-day non divulgata relativa a Nextcloud. Il vendor ha dichiarato di non aver ricevuto alcun contatto da parte del ricercatore. La fonte non specifica versioni interessate o metodo di exploitation.
Cosa fare adesso
La fonte primaria fornisce un'indicazione contestuale specifica. Ensar Seker, CISO di SOCRadar, ha dichiarato che "l'accesso ai dispositivi di sicurezza perimetrale può creare un percorso chiaro per i gruppi ransomware, quindi le organizzazioni dovrebbero trattare l'esposizione come un serio rischio di intrusione pre-ransomware".
Questa affermazione, riportata da Dark Reading, costituisce il solo elemento azionabile documentato nel brief. Le organizzazioni con dispositivi FortiGate esposti devono valutare questa condizione come rischio pre-ransomware, senza che il dossier specifichi ulteriori passaggi operativi.
Limiti delle fonti e contesto di pubblicazione
Tutte le informazioni strutturate convergono sulla ricerca di SOCRadar. Non esiste al momento verifica indipendente delle scoperte. Dark Reading, SecurityWeek, BleepingComputer e The Hacker News riportano tutti i dati di SOCRadar, con variazioni nel livello di dettaglio e nella data di pubblicazione.
La scoperta del 2 luglio 2026 si fonda su un errore di sicurezza operativa degli attaccanti che ha permesso a SOCRadar di accedere a file interni, log e documentazione operativa. Questo vettore di acquisizione è singolare e non replicabile.
L'identità degli operatori FortiBleed è stata trattenuta per pubblicazioni future. I rapporti finanziari tra il broker di accesso e i gruppi ransomware non sono quantificati nel dossier.
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.
Fonti
- https://www.darkreading.com/threat-intelligence/fortibleed-actors-inc-lynx-ransomware-gangs
- https://www.securityweek.com/fortibleed-campaign-linked-to-inc-lynx-ransomware-attacks/
- https://www.bleepingcomputer.com/news/security/fortibleed-credential-theft-campaign-linked-to-lynx-ransomware/
- https://thehackernews.com/2026/07/fortibleed-credential-theft-linked-to.html
- https://hackread.com/fortibleed-credential-theft-in-lynx-ransomware/