Si no sabés por dónde podrían entrar, ya están adentro.
Los ciberdelincuentes explotan una vulnerabilidad crítica de FortiClient EMS para desplegar un programa de robo de credenciales
Los ciberdelincuentes siguen explotando una vulnerabilidad de seguridad crítica, ya corregida, que afecta a las implementaciones de FortiClient Endpoint Management Server (EMS) para distribuir malware que roba credenciales.
«La campaña abusó de la infraestructura de administración de endpoints de confianza para distribuir malware a través de los endpoints administrados», declaró Arctic Wolf . «Los ciberdelincuentes disfrazaron la carga útil de robo de credenciales como una actualización de endpoint de Fortinet, ejecutando silenciosamente el ejecutable malicioso a través de PowerShell».
La actividad, detectada por la empresa de ciberseguridad en mayo de 2026, implica la explotación de la vulnerabilidad CVE-2026-35616 (puntuación CVSS: 9.1), una omisión crítica del acceso a la API previa a la autenticación que permite la escalada de privilegios. Fortinet solucionó este problema en FortiClient EMS 7.4.7 y versiones posteriores.
Además, se ha descubierto que el ataque aprovecha “fortitray.exe”, un ejecutable legítimo asociado con FortiClient, para lanzar un archivo de script .cmd usando “cmd.exe”. El script .cmd está diseñado para invocar un script de PowerShell codificado en Base64 que, a su vez, se encarga de descargar una carga útil maliciosa, ejecutarla y extraer los resultados mediante una solicitud HTTP POST.
