BleepingComputer ha anticipato elementi il 1 luglio 2026; SOCRadar ha diffuso il report completo il 2 luglio. La scoperta ricompone l'anatomia di un'operazione di Initial Access Broker (IAB) attiva su scala globale. Un errore di OPSEC degli attori dietro FortiBleed ha esposto server interni, log operativi e documentazione interna. SOCRadar ha analizzato questi sistemi e trovato che lo stesso operatore accedeva contemporaneamente ai pannelli di negoziazione di INC Ransom e Lynx ransomware.
- Un operatore con accesso all'infrastruttura FortiBleed era attivamente loggato nei pannelli di negoziazione di INC Ransom e Lynx ransomware contemporaneamente, con screenshot che documentano le sessioni browser.
- La campagna ha targetato 430.000 dispositivi FortiGate globalmente e raccolto oltre 110 milioni di credenziali; il sniffer Golang era installato su circa 12.000 dispositivi secondo Dark Reading, mentre BleepingComputer riporta 19.000 iniziali ridotti a circa 11.000 dopo notifiche.
- Accesso amministrativo confermato su 409 target, con compromissione completa della catena di attacco su 354 target.
- Almeno 12 deployment ransomware confermati con centinaia di endpoint criptati.
- Documenti interni descrivono una struttura di circa 20 persone con ruoli definiti.
L'errore OPSEC che ha esposto l'accesso ai pannelli
Gli attori dietro FortiBleed hanno commesso un errore operativo che ha reso accessibili server Windows interni, directory aperte e file di tracking delle vittime. SOCRadar ha analizzato questi sistemi e trovato sessioni browser attive sui pannelli di negoziazione sia di INC Ransom che di Lynx. Il server Windows nell'infrastruttura FortiBleed conteneva artefatti di accesso ai pannelli, automation scripts e file di configurazione.
SOCRadar ha pubblicato screenshot che mostrano le dashboard di negoziazione con chat attive con le vittime. L'infrastruttura tracciabile torna ai pannelli ransomware attraverso IP e domini condivisi. Questo livello di visibilità è raro: di solito i ricercatori inferiscono collegamenti tra IAB e RaaS attraverso sovrapposizioni di vittime o pattern tecnici. Qui l'accesso è documentato in tempo reale.
La portata numerica: da 430mila firewall a 354 compromissioni complete
I numeri dell'operazione, tutti tratti dalla ricerca SOCRadar, disegnano un'operazione industriale. I 430.000 FortiGate targetati rappresentano la superficie di raccolta. Secondo Dark Reading, circa 12.000 dispositivi avevano il sniffer Golang attivo. BleepingComputer riporta 19.000 iniziali ridotti a circa 11.000 dopo notifiche. I 409 target con accesso amministrativo confermato sono quelli dove le credenziali hanno funzionato. I 354 con compromissione completa sono quelli dove l'attore ha raggiunto il domain controller.
La discrepanza sui dispositivi con sniffer tra le riportazioni non è risolvibile dal dossier. Entrambi i numeri derivano dalla stessa ricerca SOCRadar ma sono stati comunicati in momenti diversi della divulgazione.
I 12 deployment ransomware confermati, documentati in un file di tracking interno dell'operazione con lo stato di ogni target, rappresentano la punta dell'iceberg verificata. Il file descrive per ogni vittima: credenziali usate, reti accessate, ransomware deployed. Centinaia di endpoint criptati sono stati contati in questi 12 incidenti.
"Finding a single operator working both panels, using infrastructure traceable back to FortiBleed, is the clearest evidence yet that FortiGate credentials harvested through this campaign are being handed off, or used directly, for ransomware deployment" — SOCRadar (via Dark Reading)
La struttura descritta nei documenti interni
I documenti trovati nei server esposti descrivono una struttura di circa 20 persone con ruoli definiti. Il dossier riporta solo l'esistenza di questi documenti che descrivono ruoli; non stabilisce se questa struttura indichi capacità operativa persistente o attività occasionale. L'identità reale dell'operatore che accedeva a entrambi i pannelli resta sconosciuta. Il dossier non stabilisce se agisse come dipendente, affiliato o acquirente dei gruppi RaaS.
L'attività è attribuita a un attore di lingua russa che opera come IAB, entità separata dai gruppi RaaS che acquistano o utilizzano l'accesso. La separazione tra IAB e gruppi RaaS è funzionale: l'IAB rimane entità distinta da chi acquista o utilizza l'accesso.
Espansione del targeting: Nextcloud zero-day e preparazione Citrix
L'operazione non si limita a FortiGate. SOCRadar ha confermato via email a Dark Reading e Cybersecurity Dive che gli attori sarebbero in possesso di almeno una zero-day in Nextcloud per espansione dell'accesso. Nessun CVE è stato assegnato; Nextcloud ha dichiarato di non aver ricevuto report. Il dossier non specifica dettagli tecnici della vulnerabilità.
Paralleamente, The Hacker News riporta l'identificazione di artefatti Citrix e una lista target di circa 29.000 IP e 37 domini. Ensar Seker, CISO di SOCRadar, ha dichiarato che "at this stage, the presence of these target lists does not conclusively prove that credential harvesting against Citrix devices has already occurred at scale. Rather, it demonstrates clear reconnaissance and targeting preparations". Il targeting settoriale tocca manifatturiero, tecnologia e logistica in America Latina e Asia Pacifico.
Cosa significa: il valore dell'evidenza per l'attribution
La scoperta di SOCRadar cambia il tipo di evidenza disponibile sui collegamenti IAB-ransomware. Fino a ora, i ricercatori hanno dovuto ricostruire questi nodi attraverso sovrapposizioni di vittime, pattern di pagamento o similitudini tecniche. La documentazione di un operatore condiviso tra infrastruttura IAB e pannelli RaaS offre un livello di granularità diverso: non è inferenza, è osservazione diretta di sessioni attive.
Questa granularità ha un effetto sulla pratica di attribution. Quando i ricercatori possono tracciare un singolo individuo attraverso infrastrutture diverse, il modello di "gruppo" come unità di analisi si sfalda. INC Ransom e Lynx potrebbero essere operatori distinti che acquistano accesso dallo stesso broker, o potrebbero condividere risorse umane senza condividere comando. Il dato verificato è l'accesso condiviso, non la struttura organizzativa dei gruppi.
Per i difensori, la lezione è metodologica: la separazione tra IAB e RaaS, spesso trattata come assioma del mercato criminale, ha implicazioni pratiche sulla velocità di escalation. Quando l'accesso è già nelle mani di chi gestisce i pannelli di negoziazione, il tempo tra compromissione iniziale e deployment ransomware si accorcia. Non è necessario postulare una "pipeline" strutturata: la cessione o l'utilizzo diretto, come documentato da SOCRadar, producono lo stesso effetto.
Cosa fare adesso
Il dossier non specifica contromisure tecniche raccomandate. Le azioni seguenti si basano esclusivamente sui fatti documentati e sulle loro implicazioni dirette:
- Verificare la presenza dell'account "adminin": BleepingComputer riporta che SOCRadar ha trovato account backdoor persistenti con questo username su sistemi compromessi. La ricerca di questo indicatore nei log di autenticazione è un'azione specifica al caso documentato.
- Controllare sovrapposizioni con il leak site di INC Ransom: Il dossier documenta sovrapposizioni tra vittime FortiBleed e target listati sul leak site. Le organizzazioni che trovano la propria infrastruttura in entrambi i dataset hanno evidenza di esposizione concreta, non teorica.
- Monitorare i log FortiGate per pattern di accesso anomalo: I 409 target con accesso amministrativo confermato e i 354 con compromissione completa indicano che le credenziali raccolte sono state validate e utilizzate. La ricerca di accessi da IP associati all'infrastruttura FortiBleed (documentata nei server esposti) è un'azione di threat hunting specifica.
- Valutare l'esposizione Citrix: La lista di 29.000 IP e 37 domini indica preparazione di targeting. Le organizzazioni con asset Citrix in questi range dovrebbero considerare l'evidenza di ricognizione come fattore di rischio elevato per il proprio profilo di minaccia.
Limiti e contesto metodologico
Tutti i dati provengono da una singola ricerca SOCRadar; non esiste conferma indipendente da altri team di analisi. Questo limite metodologico è rilevante per la valutazione della robustezza delle conclusioni: le osservazioni sono coerenti internamente, ma non replicate esternamente.
Il dossier non stabilisce se INC e Lynx siano effettivamente distinti o collegati organizzativmente. Esiste solo ipotesi di rebrand, non prova. Nemmeno l'entità esatta del gruppo IAB è stata denominata pubblicamente. La zero-day Nextcloud non ha CVE assegnato e non è stata confermata dal vendor. Il targeting Citrix è documentato come preparazione, non come exploitation avvenuta.
La datazione riflette questa asimmetria: BleepingComputer ha pubblicato per primo il 1 luglio; SOCRadar ha diffuso il report completo il 2 luglio. Entrambe le date sono rilevanti per la ricostruzione della divulgazione.
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.
Fonti
- https://www.darkreading.com/threat-intelligence/fortibleed-actors-inc-lynx-ransomware-gangs
- https://www.securityweek.com/fortibleed-campaign-linked-to-inc-lynx-ransomware-attacks/
- https://www.bleepingcomputer.com/news/security/fortibleed-credential-theft-campaign-linked-to-lynx-ransomware/
- https://www.cybersecuritydive.com/news/fortibleed-campaign-traced-to-inc-and-lynx-ransomware-operations/824348/
- https://thehackernews.com/2026/07/fortibleed-credential-theft-linked-to.html