Aumento de actividad maliciosa en FortiOS
En DarkForums, un vendedor identificado como “miyako”, señalado por la comunidad como parte del ecosistema cercano a Scattered Lapsus$ Hunters, ha publicado de manera constante accesos comprometidos a organizaciones vulneradas mediante fallas en FortiOS. Hasta la fecha de hoy, 28 de noviembre de 2025, se han identificado 24 víctimas distintas en sus listados.
Foco regional en Centroamérica y Sudamérica
El patrón geográfico es claro. La mayoría de las organizaciones afectadas están en países centroamericanos y sudamericanos, con una presencia menor de víctimas en Europa y Asia. Entre los casos más notorios figura una empresa inmobiliaria en El Salvador, con ingresos estimados de 300 millones de dólares, cuyo firewall FortiOS habría sido comprometido con RCE, privilegios administrativos y acceso por CLI.
Formato repetitivo en las ofertas de acceso
Las publicaciones de “miyako” muestran prácticamente la misma estructura en cada anuncio:
• OS comprometido: FortiOS
• Tipo de dispositivo: Firewall
• Permisos obtenidos: RCE + Admin + CLI
• Ingreso estimado de la víctima: variable
• Método de contacto: enlace de Session para comunicación anónima
Cadena de explotación constante desde el 20 de noviembre
La frecuencia con la que se han publicado estos listados, varias veces por día, sugiere explotación masiva de vulnerabilidades recientes o un inventario grande de accesos ya comprometidos. El ritmo y la escala refuerzan la idea de una operación activa en curso.
Alineación con las tácticas de Scattered Lapsus$ Hunters
El foco en países latinoamericanos coincide con los patrones operativos conocidos de grupos vinculados a Scattered Lapsus$ Hunters, que suelen apuntar a infraestructura expuesta y defensas perimetrales débiles. La actividad sostenida en DarkForums evidencia que el actor continúa monetizando accesos de alto impacto que dejan vulnerables a organizaciones de distintos sectores en la región.
