La peor pesadilla para los administradores de Fortinet: un sistema confiable empezó a ejecutar PowerShell de terceros en las estaciones de trabajo
Bastó un solo eslabón débil para que la seguridad se convirtiera en un problema para toda la red.
Actores malintencionados convirtieron en un canal para el robo de datos al sistema de gestión de estaciones de trabajo de confianza. Según Arctic Wolf Labs, el ataque contra FortiClient Endpoint Management Server permitió distribuir un archivo malicioso mediante los mecanismos habituales para administradores y disfrazarlo como una actualización de Fortinet.
La campaña está relacionada con la vulnerabilidad CVE-2026-35616 (CVSS 2.0 AV:N/AC:L/Au:N/C:C/I:C/A:C — 10.0) en FortiClient EMS. Un fallo en el control de acceso permitía, sin autenticación, omitir la verificación de la API y enviar solicitudes privilegiadas a servidores vulnerables. Tras acceder a la configuración de EMS, los atacantes modificaron la configuración del Remote Access Profile y las políticas de los dispositivos finales, añadiendo un script para ejecutarse en los hosts gestionados.
El ataque se basó en la configuración VPN de FortiClient. Al establecer el túnel IPsec, los componentes fortitray.exe o ipsec.exe ejecutaban archivos por lotes mediante cmd.exe desde el directorio de FortiClient. Luego se ejecutaba un script PowerShell en codificación Base64 que descargaba el archivo malicioso del servidor 83[.]138.53[.]110, lo ejecutaba y enviaba la salida de vuelta por HTTP.
El archivo descargado se llamaba FortiEndpoint_Patch.exe en los sistemas infectados y p.exe en el servidor remoto. Arctic Wolf Labs denominó al "stealer" EKZ Infostealer. El programa apunta a datos de Chrome, Microsoft Edge y otros navegadores basados en Chromium, así como a Firefox y navegadores basados en Gecko. El malware extrae contraseñas guardadas, cookies, datos de autocompletar, direcciones, teléfonos y datos de tarjetas bancarias.
Particular peligro representan las cookies, ya que con ellas los atacantes pueden reutilizar sesiones ya iniciadas y, en algunos casos, omitir solicitudes de autenticación multifactor. Para navegadores basados en Chromium, EKZ Infostealer emplea un bypass de la verificación del Chromium Elevation Service, y para Firefox carga NSS y lee los almacenes estándar como key4.db, logins.json y cookies.sqlite.
Arctic Wolf Labs también encontró en el servidor de los atacantes muestras maliciosas adicionales, incluido un archivo comprimido, un instalador MSI y un ejecutable con un error en el nombre "Microsoft Windows". El equipo no registró la ejecución directa de esos archivos en la cadena de ataque analizada.
A las organizaciones que usan FortiClient EMS se les recomienda instalar la versión corregida lo antes posible y restringir el acceso al puerto de gestión 8013 solo a direcciones IP de confianza. Para buscar rastros del ataque, los autores del informe aconsejan revisar los registros de EMS en busca de errores de certificados, cambios inesperados en el Remote Access Profile, ejecuciones de PowerShell desde el directorio de FortiClient y conexiones a 83[.]138.53[.]110.