De hackersgroep maakt misbruik van CVE-2026-35616, een kritiek lek dat een aanvaller in staat stelt authenticatie te omzeilen bij het aanroepen van EMS-API’s en zo volledige beheerdersrechten te krijgen. Volgens beveiligingsbedrijf Arctic Wolf biedt het lek een mogelijkheid om instellingen te kunnen wijzigen zonder aparte inloggegevens voor elk endpoint. Zodra de exploit is uitgevoerd, kan de aanvaller de FortiClient EMS instrueren om kwaadaardige opdrachten te pushen alsof het legitieme updates zijn. Wie de hackers zijn is onbekend.
Fortinet heeft het probleem opgelost in versie 7.4.7 van FortiClient EMS en latere releases. Organisaties die oudere versies gebruiken moeten direct updaten om het lek te verhelpen.
Hoe de aanvallers te werk gaan
De hackersgroep, die momenteel actief misbruikt maakt van het lek, voegt een PowerShell-script toe aan een Remote Access Profile en een endpoint-beleid. Het script wordt via het normale update-mechanisme verspreid en lijkt daardoor op een routinecontrole van firmware. Het script start een legitiem FortiClient-onderdeel, fortitray.exe, dat vervolgens een .cmd-bestand uitvoert dat een Base64-gecodeerd PowerShell-commando aanroept.
Dat PowerShell-commando downloadt een bestand met de naam FortiEndpoint_Patch.exe van de server van de aanvaller, voert het uit en stuurt de verzamelde gegevens via een HTTP POST-verzoek naar 83.138.53[.]110. Het gebruik van legitieme EMS-infrastructuur verbergt de kwaadaardige activiteit en verkleint de kans dat endpoint-beveiliging deze detecteert.
Het gedownloade uitvoerbare bestand is een nog niet eerder waargenomen infostealer. Het doet zich voor als een Fortinet-update maar verzamelt in werkelijkheid gevoelige gegevens uit Chromium- en Gecko-browsers, waaronder wachtwoorden, cookies, creditcardgegevens, adressen en telefoonnummers. De data wordt weggeschreven naar een logbestand in de ProgramData-map van het slachtoffer.
Mitigatie
Organisaties die FortiClient EMS gebruiken moeten upgraden naar versie 7.4.7 of hoger om CVE-2026-35616 te dichten. De kwetsbaarheid kan met NetCaptain worden gedetecteerd. Na het patchen moeten beheerders Remote Access Profiles en endpoint-beleidsregels controleren op ongeautoriseerde wijzigingen en automatische policy-pushes uitschakelen tot het systeem veilig is.
De aanvallers maken gebruik van Tor exit nodes, waarvan in ieder geval 83.138.53[.]110 en 192[.]42.116.14 zijn waargenomen. Dit biedt een mogelijkheid om aanvallen te detecteren. Endpoint detection- en response-oplossingen moeten ook letten op uitvoering van fortitray.exe gevolgd door cmd.exe die een script met Base64-gecodeerde PowerShell-code start.
