Durante los primeros días de agosto de 2025, se registró un incremento significativo en ataques de fuerza bruta contra dispositivos Fortinet SSL VPN. Según investigadores, la actividad se presentó en dos oleadas: la primera el 3 de agosto y la segunda el 5 de agosto.
Lo que llamó la atención de los analistas fue el cambio de objetivo entre ambas fechas. Mientras que el primer ataque se centró en Fortinet SSL VPN, la segunda oleada pivotó hacia FortiManager, utilizando una firma TCP distinta. Este cambio estratégico ha sido identificado en campañas previas como un posible indicador de que se aproxima la divulgación de una nueva vulnerabilidad crítica.
Historial que respalda la alerta
De acuerdo con investigadores, en el 80% de los casos, picos de escaneo y fuerza bruta contra un mismo proveedor preceden el anuncio de vulnerabilidades, en muchos casos dentro de un periodo de seis semanas. Estos ataques suelen tener como objetivo mapear endpoints expuestos, evaluar su valor estratégico y estimar su potencial de explotación antes de que inicien ataques más amplios.
La recomendación es no asumir que se trata de intentos fallidos contra fallos ya parchados, sino tratarlos como posibles indicios de ataques zero-day en desarrollo y aplicar medidas preventivas de inmediato.
Detalles técnicos de la campaña
En la primera oleada del 3 de agosto, el análisis con JA4+ (método para identificar y clasificar tráfico cifrado) vinculó la actividad con patrones observados en junio, posiblemente desde un dispositivo FortiGate ubicado en una IP residencial en EE. UU. Aunque no se confirma la autoría, la coincidencia sugiere reutilización de herramientas o infraestructura.
El 5 de agosto, el mismo origen cambió el enfoque de FortiOS SSL VPN a FortiManager –específicamente su servicio FGFM–, manteniendo aún la detección bajo la etiqueta de “Fortinet SSL VPN Bruteforcer” en GreyNoise.
Direcciones IP asociadas
Las siguientes direcciones IP se han identificado como parte de la campaña y se recomienda incluirlas en listas de bloqueo:
- 31.206.51.194
- 23.120.100.230
- 96.67.212.83
- 104.129.137.162
- 118.97.151.34
- 180.254.147.16
- 20.207.197.237
- 180.254.155.227
- 185.77.225.174
- 45.227.254.113
Recomendaciones para organizaciones
GreyNoise enfatiza que la actividad observada muestra un patrón de pruebas adaptativas y es poco probable que provenga de escaneos legítimos de investigación. Por ello, las organizaciones deben:
- Bloquear de inmediato las IP identificadas.
- Habilitar mecanismos de protección contra ataques de fuerza bruta en dispositivos Fortinet.
- Restringir el acceso administrativo únicamente a direcciones IP confiables.
- Considerar el uso de VPNs corporativos para la gestión remota.
- Monitorear de forma proactiva cualquier intento de autenticación no autorizado.
El seguimiento constante y la adopción de medidas proactivas pueden marcar la diferencia entre un incidente frustrado y una intrusión exitosa.
