310 компаний сдались без боя. Дыры в Fortinet открыли Qilin все двери — даже запасные

Операторы вымогательского ПО Qilin — также известные под именем Phantom Mantis — начали активно использовать критические уязвимости в продуктах Fortinet, чтобы проникать во внутренние сети организаций и запускать вредоносный код. Новая кампания развивается с мая 2025 года и уже затронула инфраструктуру в испаноязычных странах, хотя по наблюдениям экспертов, злоумышленники не ограничиваются жёсткими рамками и выбирают цели там, где видят уязвимость , а не по национальному признаку.

Впервые Qilin появился на киберпреступной арене в августе 2022 года под брендом Agenda. С тех пор группировка продвигает свою деятельность по модели RaaS — «вымогательство как услуга» — и публикует данные пострадавших компаний на собственном даркнет-портале. По состоянию на 2025 год список скомпрометированных организаций превышает 310 имён и включает заметные бренды и учреждения.

Среди пострадавших — транснациональный автоконцерн Yangfeng, крупное американское издательство Lee Enterprises, судебная система штата Виктория в Австралии и медицинская лаборатория Synnovis. Последний инцидент особенно резонансен: заражение затронуло несколько ведущих больниц NHS в Лондоне и привело к отмене сотен операций и приёма пациентов.

По информации швейцарской компании PRODAFT , Qilin запустили новую серию атак, автоматизировав часть действий и сосредоточившись на эксплуатации слабых мест в решениях Fortinet. В частности, речь идёт о CVE-2024-21762 и CVE-2024-55591 — двух критических дырах в FortiOS и FortiProxy, позволяющих обойти аутентификацию и удалённо выполнять команды с системными привилегиями.

Одной из зацепок стало то, что CVE-2024-55591 уже ранее использовалась в атаках нулевого дня. Так, в ноябре 2024 года через неё был организован взлом FortiGate-файрволов. Впоследствии она стала точкой входа для распространения вредоноса SuperBlack, связанного с группировкой LockBit — тоже одним из наиболее заметных акторов в индустрии. Эту связь подтвердили специалисты компании Forescout.

CVE-2024-21762, в свою очередь, была закрыта Fortinet в феврале текущего года. Американское агентство CISA оперативно включило уязвимость в каталог активно эксплуатируемых и потребовало от всех федеральных ведомств немедленно обновить затронутые устройства до 16 февраля. Несмотря на это, через месяц Фонд Shadowserver обнаружил, что около 150 тысяч устройств по всему миру по-прежнему остаются незащищёнными.

Исследователи предполагают, что особая заинтересованность в испаноязычных регионах может быть связана как с удобством локализации, так и с уязвимыми конфигурациями в целевых сетях.

Именно Fortinet в последние годы стал одной из самых уязвимых точек в корпоративной ИТ-инфраструктуре. Продукты компании часто используются для построения внешнего периметра — и при этом регулярно становятся целью кибершпионских кампаний. Причём довольно часто речь идёт об атаках с использованием уязвимостей нулевого дня, что особенно опасно.

Так, в феврале Fortinet официально признала, что китайская хак-группа Volt Typhoon использовала две другие бреши в FortiOS SSL VPN — CVE-2022-42475 и CVE-2023-27997 — для доставки собственного удалённого трояна Coathanger. Этот малварь позднее был обнаружен в сети Министерства обороны Нидерландов, где работал как бэкдор и обеспечивал устойчивый несанкционированный доступ.

Сложность ещё в том, что уязвимости Fortinet позволяют не просто проникнуть внутрь сети, но и обойти все стандартные механизмы авторизации, замаскировавшись под легитимного пользователя. Идеальные условия для запуска шифровальщиков, особенно если атака происходит в выходные дни или ночью, когда контроль со стороны SOC минимален.

Последние действия Qilin показывают, что их методы становятся всё более продуманными, а взаимодействие с другими группами — теснее. Они используют давно известные 0-day, автоматизируют первые шаги атаки и стремятся как можно быстрее развернуть вредонос — всё это говорит о высокой степени профессионализма хакеров .

Пока неясно, будет ли кампания продолжаться в других странах, но PRODAFT предупреждает: если дыры не залатать в ближайшее время, география атак может резко расшириться. Организациям рекомендуется немедленно установить обновления, а также проверить журналы активности на предмет подозрительных попыток доступа, особенно в обход аутентификации.