FortiGate VPN utsätts för högautomatiserade AI-drivna cyberattacker

Ett betydande cyberhot uppstod i början av februari 2026 efter att forskare avslöjat en intrångskampanj som djupt integrerade stora språkmodeller i attackens livscykel. En felkonfigurerad server exponerade en automatiserad pipeline där hotaktörer bäddade in DeepSeek och Claude direkt i sina arbetsflöden, vilket gick utöver grundläggande AI-assisterad nätfiske till full automatisering av dödskedjan.

Infrastrukturen fokuserade på att rikta in sig på FortiGate SSL VPN-apparater, med hjälp av stulna konfigurationsdata och referenser för att få åtkomst, kartlägga interna nätverk och identifiera värdefulla tillgångar. Anpassade verktyg gjorde det möjligt för operatörerna att bearbeta tusentals mål samtidigt, med bevis som tyder på att mer än 2 500 enheter i 106 länder analyserades parallellt.

Analytikerna observerade ett tillvägagångssätt med dubbla modeller, där DeepSeek användes för strategisk planering och Claude för att köra kodkörning och sårbarhetsanalyser. När åtkomst väl uppnåtts körde systemet autonomt verktyg som Impacket och Metasploit.

Resultaten understryker hur viktigt det är att patcha edge-enheter, granska VPN-åtkomst och noga övervaka nätverksaktiviteten eftersom AI-drivna attacker fortsätter att öka snabbt.

AI-aktiverade cyberattacker ökar kraftigt när hotaktörer skalar upp kampanjer

Antalet AI-aktiverade cyberattacker har nästan fördubblats under det senaste året, enligt CrowdStrikes Global Threat Report 2026. Rapporten varnar för en 89-procentig ökning av aktiviteten från så kallade "AI-enabled adversaries" under 2025, eftersom hotaktörer i allt högre grad använder maskininlärning och stora språkmodeller för att optimera befintliga attacktekniker.

I stället för att skapa helt nya attackvektorer använder angriparna AI för att göra välkända metoder mer effektiva och skalbara. Det handlar bland annat om att generera mer övertygande phishing-mejl på flera språk, påskynda spaning och stödja desinformationskampanjer. CrowdStrike lyfte fram kampanjer kopplade till kinesiska underrättelsetjänster och ryska cyberbrottsgrupper som använde AI för att öka trovärdigheten och räckvidden för social engineering-operationer.

Rapporten noterar också tidiga experiment med AI-assisterad utveckling av skadlig kod, inklusive inbäddning av LLM-prompter i spionageverktyg. Även om effekten fortfarande är begränsad förväntar sig CrowdStrike att denna trend kommer att växa och varnar organisationer för att stärka identitetskontroller, utbildning i säkerhetsmedvetenhet och hotinformationskapacitet när AI-vapenkapplöpningen intensifieras.

Cisco SD-WAN nolldag utnyttjad för att lägga till oseriösa nätverkskamrater

Cisco har utfärdat en brådskande varning efter att ha bekräftat aktivt utnyttjande av en kritisk sårbarhet för att kringgå autentisering i Cisco Catalyst SD-WAN. Spårad som CVE-2026-20127 och rankad till den maximala svårighetsgraden 10.0, gör bristen det möjligt för fjärran angripare att kompromissa med SD-WAN-kontroller och lägga till skadliga oseriösa kamrater till drabbade nätverk.

Sårbarheten påverkar Cisco Catalyst SD-WAN Controller och Manager-implementeringar, både lokalt och i molnmiljöer. Exploatering gör det möjligt för angripare att autentisera som en högprivilegierad intern användare, manipulera nätverkskonfigurationer och potentiellt flytta djupare in i företagsmiljöer genom krypterade anslutningar. Cisco Talos har kopplat aktiviteten till en mycket sofistikerad hotaktör, med bevis som tyder på att utnyttjandet kan dateras flera år tillbaka.

Som svar har amerikanska och brittiska myndigheter utfärdat samordnade råd, där CISA kräver omedelbar utredning och patchning av federala nätverk. Organisationer rekommenderas starkt att granska loggar, leta efter obehörig peering-aktivitet och tillämpa Ciscos uppdateringar utan dröjsmål, eftersom det inte finns några effektiva lösningar för denna sårbarhet.

Organiserad phishing-kampanj riktad mot frakt- och logistiksektorn i USA och Europa

Frakt- och logistikorganisationer i USA och Europa har drabbats av en storskalig nätfiskeoperation som är kopplad till en ekonomiskt motiverad hotgrupp som kallas Diesel Vortex. Kampanjen, som pågått sedan september 2025, har resulterat i stöld av minst 1 649 unika inloggningsuppgifter, med hjälp av mer än 50 skadliga domäner som utgett sig för att vara plattformar som logistikbranschen använder dagligen.

Forskarna upptäckte aktiviteten efter att ha hittat ett exponerat phishing-arkiv som innehöll databaser, infrastrukturdetaljer och Telegram-kommunikation. Analysen pekar på en mycket välorganiserad verksamhet med definierade roller, operativa nivåer och intäktsmodeller, som medvetet riktar in sig på en sektor som ofta ligger utanför fokus för traditionella säkerhetskontroller för företag.

Angriparna kombinerade e-postfiske, röstfiske och Telegram-baserad social engineering med pixelperfekta repliker av legitima frakt- och logistikplattformar. Stulna inloggningsuppgifter och autentiseringsdata användes sedan för att underlätta efterföljande bedrägerier, inklusive fraktimitation och avledning av gods.

Även om infrastrukturen sedan dess har störts, belyser kampanjen den växande cyberrisk som globala leveranskedjor står inför och behovet av starkare identitetsskydd och användarmedvetenhet i hela sektorn.

Missbruk av AI-chatbot kopplat till intrång i mexikanska myndighetsnätverk

En cyberbrottsling har enligt uppgift använt Anthropics AI-chatbot Claude för att kompromettera flera mexikanska myndigheter och stjäla stora volymer känslig skatte- och väljardata. Enligt Bloomberg upptäckte forskare vid det israeliska säkerhetsföretaget Gambit Security bevis som visar att angriparen använde Claude för att identifiera nätverkssårbarheter, generera exploateringsskript och automatisera datautfiltrering i spanskspråkiga uppmaningar.

Aktiviteten tros ha pågått i ungefär en månad från december och påverkade den mexikanska federala skatteförvaltningen, det nationella valinstitutet och regionala regeringsorgan. Uppskattningsvis 150 GB data stals, inklusive skatteregister, väljarinformation, myndighetsuppgifter och befolkningsregisterfiler. Gambit tror inte att aktiviteten är kopplad till en främmande stat.

Anthropic har bekräftat att de undersöker och har blockerat de associerade kontona, medan OpenAI sa att ChatGPT motstått liknande försök till missbruk. Incidenten belyser en växande trend där angripare missbrukar avancerade AI-kodningsverktyg, vilket väcker brådskande frågor kring AI-skydd, övervakning och upptäckt av missbruk när dessa tekniker blir mer kapabla.

Om du är orolig för något av de hot som beskrivs i denna bulletin eller behöver hjälp med att avgöra vilka åtgärder du bör vidta för att skydda dig mot de mest väsentliga hoten mot din organisation, vänligen kontakta din kundansvarige, eller alternativtkontakta oss för att ta reda påhur du kan skydda din organisation.

Threat Intel Roundup har utarbetats av Integrity360 och sammanfattar hotnyheter som vi observerar och som är aktuella vid publiceringsdatumet. Det ska inte betraktas som juridisk rådgivning, konsultation eller någon annan professionell rådgivning. Eventuella rekommendationer bör övervägas inom ramen för din egen organisation. Integrity360 tar inte någon politisk ställning i den information som vi delar. Dessutom behöver de åsikter som uttrycks inte nödvändigtvis vara Integrity360:s åsikter.