Кіберзлочинці розпочали активну експлуатацію критичної вразливості захисту у програмному забезпеченні FortiClient Enterprise Management Server – спеціалізованій системі, яку компанії використовують для централізованого керування безпекою всіх робочих комп’ютерів та корпоративних пристроїв у своїй мережі. Діра в безпеці отримала офіційний ідентифікатор CVE-2026-35616 та класифікована як помилка контролю доступу, що дозволяє зловмисникам здійснити «обхід автентифікації». Це означає, що сторонні особи можуть підключитися до системи без введення логіна та пароля, надсилаючи спеціально сформовані мережеві запити, та віддалено виконувати довільні команди. Компанія Fortinet випустила термінові оновлення безпеки для версій 7.4.5 та 7.4.6 ще на початку квітня, а Агентство з кібербезпеки та захисту інфраструктури США видало наказ урядовим установам негайно закрити цю вразливість. Попри це, аналітики дослідницької компанії Arctic Wolf зафіксували реальні цільові атаки, спрямовані на розгортання раніше невідомого шкідливого інструменту під назвою EKZ Infostealer.

Хронологія та технічний механізм атаки демонструють високий рівень підготовки хакерів, які повністю відмовилися від стандартних фішингових приманок на користь маскування під легітимні процеси. Зловмисники експлуатують програмні інтерфейси кінцевих точок, щоб виконувати адміністративні дії без підтвердження особи, змінюють внутрішні конфігурації сервера EMS та правила роботи VPN-мереж. Одразу після того, як комп’ютер жертви встановлює захищений тунель зв’язку з корпоративним мережевим екраном FortiGate, системний процес fortitray.exe примусово запускає командний рядок Windows і виконує закодований сценарій PowerShell. Цей скрипт непомітно завантажує з віддаленого орендованого сервера корисне навантаження, замасковане під офіційний патч від Fortinet. Запущена програма EKZ Infostealer виконує пошук збережених даних у браузерах на базі Chromium та Firefox, зламує шифрування та викрадає логіни, паролі, номери банківських карток, номери телефонів та файли «cookies», які дозволяють обходити двофакторну автентифікацію. Усі зібрані дані відправляються хакерам через протокол HTTP, після чого вірус видаляє сліди своєї присутності в операційній системі.