Security

Amazon: Peretas Berbantuan AI Bobol 600 Firewall Fortinet di 55 Negara dalam Lima Pekan

February 24, 2026
3 minutes read

Amazon mengungkap kampanye peretasan berskala global yang melibatkan lebih dari 600 perangkat firewall FortiGate milik Fortinet di 55 negara. Kampanye yang berlangsung antara 11 Januari hingga 18 Februari 2026 itu disebut memanfaatkan kecerdasan buatan (AI) generatif untuk mempercepat dan mengotomatiskan serangan.

Laporan yang disampaikan CJ Moses, CISO Amazon Integrated Security, menyebut bahwa pelaku berbahasa Rusia tersebut tidak menggunakan eksploit zero-day untuk menembus perangkat. Sebaliknya, mereka menargetkan antarmuka manajemen yang terekspos ke internet serta kredensial lemah tanpa perlindungan multi-factor authentication (MFA).

Firewall yang terdampak tersebar di berbagai wilayah, termasuk Asia Selatan, Amerika Latin, Karibia, Afrika Barat, Eropa Utara, dan Asia Tenggara.

Tanpa Zero-Day, Andalkan Kredensial Lemah

Alih-alih mengeksploitasi celah keamanan baru, pelaku memindai layanan manajemen FortiGate yang berjalan pada port 443, 8443, 10443, dan 4443. Targeting dilakukan secara oportunistik, bukan pada industri tertentu.

Setelah mendapatkan akses melalui brute-force password umum, pelaku mengekstrak file konfigurasi perangkat yang berisi data sensitif, seperti:

  • Kredensial pengguna SSL-VPN beserta kata sandi yang dapat dipulihkan
  • Kredensial administrator
  • Kebijakan firewall dan arsitektur jaringan internal
  • Konfigurasi IPsec VPN
  • Informasi topologi dan routing jaringan

File konfigurasi tersebut kemudian diparsing dan didekripsi menggunakan tool berbasis Python dan Go yang diduga dikembangkan dengan bantuan AI.

Amazon menemukan indikasi kuat pengembangan berbasis AI dari struktur kode yang sederhana, komentar redundan, parsing JSON yang tidak optimal, hingga dokumentasi kosong—ciri khas kode hasil generasi model bahasa besar tanpa penyempurnaan lanjutan.

Otomatisasi Rekon dan Pergerakan Lateral

Setelah memperoleh akses VPN, pelaku menjalankan tool rekognisi kustom untuk menganalisis tabel routing, mengklasifikasikan jaringan berdasarkan ukuran, melakukan port scanning menggunakan gogo scanner, mengidentifikasi host SMB dan domain controller, serta mencari layanan HTTP dengan Nuclei.

Dokumentasi operasional berbahasa Rusia yang ditemukan turut menjelaskan penggunaan Meterpreter dan mimikatz untuk melakukan serangan DCSync dan mengekstrak hash kata sandi NTLM dari Active Directory.

Target berikutnya adalah infrastruktur backup, khususnya server Veeam Backup & Replication. Pada salah satu server yang teridentifikasi (212.11.64.250), ditemukan skrip PowerShell bernama “DecryptVeeamPasswords.ps1” yang dirancang untuk mengekstrak kredensial aplikasi backup.

Amazon menilai bahwa penargetan sistem backup merupakan langkah umum sebelum pelaku meluncurkan ransomware, guna mencegah pemulihan data.

Dokumen operasional pelaku juga memuat referensi eksploitasi terhadap sejumlah CVE lama, termasuk CVE-2019-7192 (QNAP RCE), CVE-2023-27532 (Veeam Information Disclosure), dan CVE-2024-40711 (Veeam RCE).

Menariknya, pelaku cenderung berpindah ke target lain ketika menghadapi sistem yang telah ditambal atau dikonfigurasi ketat.

AI Sebagai Pengganda Kemampuan

Amazon menyimpulkan bahwa pelaku memiliki tingkat keahlian rendah hingga menengah, namun kemampuannya meningkat signifikan berkat penggunaan AI komersial. Setidaknya dua penyedia large language model (LLM) digunakan untuk:

  • Menyusun metodologi serangan langkah demi langkah
  • Mengembangkan skrip dalam berbagai bahasa pemrograman
  • Membangun kerangka kerja rekognisi
  • Merancang strategi pergerakan lateral
  • Menyusun dokumentasi operasional

Dalam satu kasus, pelaku bahkan memasukkan topologi jaringan internal korban—termasuk alamat IP, hostname, kredensial, dan layanan aktif—ke dalam layanan AI untuk meminta saran penyebaran lebih lanjut di dalam jaringan.

Amazon menilai fenomena ini menunjukkan bagaimana AI komersial menurunkan hambatan teknis bagi pelaku ancaman.

Server Salah Konfigurasi Ungkap Infrastruktur AI Khusus

Penelitian terpisah dari blog keamanan Cyber and Ramen mengungkap detail tambahan terkait server salah konfigurasi di alamat 212.11.64.250:9999 yang berisi 1.402 file dalam 139 subdirektori.

Direktori tersebut mencakup backup konfigurasi FortiGate yang dicuri, dump kredensial, pemetaan Active Directory, template scanning Nuclei, hingga kode eksploit CVE.

Ditemukan pula server Model Context Protocol (MCP) kustom bernama ARXON yang berfungsi sebagai jembatan antara data rekognisi dan model bahasa besar seperti DeepSeek dan Claude. Sistem ini digunakan untuk menghasilkan rencana serangan terstruktur, termasuk langkah mendapatkan hak Domain Admin, lokasi penyimpanan kredensial, serta strategi eksploitasi lanjutan.

Tool Go bernama CHECKER2 yang berjalan dalam lingkungan Docker juga digunakan untuk memindai ribuan target VPN secara paralel, dengan log menunjukkan lebih dari 2.500 target potensial di lebih dari 100 negara.

Dalam beberapa kasus, Claude Code dikonfigurasi untuk menjalankan tool ofensif seperti Impacket, Metasploit, dan hashcat secara otomatis tanpa persetujuan manual untuk setiap perintah.

Peneliti mencatat bahwa operasi ini berkembang selama beberapa pekan, dari penggunaan framework MCP open-source HexStrike hingga sistem otomatis ARXON yang lebih canggih.

Rekomendasi Mitigasi

Amazon merekomendasikan agar administrator FortiGate:

  • Tidak mengekspos antarmuka manajemen ke internet
  • Mengaktifkan MFA pada seluruh akun administratif
  • Tidak menggunakan kata sandi VPN yang sama dengan akun Active Directory
  • Memperkuat dan mengaudit infrastruktur backup

Kasus ini menegaskan bahwa AI generatif kini berfungsi sebagai pengganda efektivitas serangan, memungkinkan pelaku dengan kemampuan terbatas menjalankan operasi intrusi dalam skala global secara lebih efisien.

Tags
February 24, 2026
3 minutes read
Leave a Reply

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button