2026-03-03 06:17:47 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 2026年初一起全球网络入侵事件揭示了AI重塑攻击逻辑的趋势，攻击者将DeepSeek和Claude等LLM深度嵌入决策中枢，通过MCP协议实现从侦察到渗透的全流程自动化，使单人可协同攻击数千目标。文章详细剖析了从FortiGate入侵到域控权限获取的链条，展示了工具快速迭代能力。建议防御重心转向监控AI工作流及审计异常访问行为。 综合评分： 90 文章分类： AI安全,渗透测试,实战经验,红队,漏洞分析

cover_image

从多目标Fortinet、DC入侵看AI时代大型语言模型（LLM）直接整合到入侵工作流程

原创

Ramen Ramen

暗镜

2026年2月25日 02:41 辽宁

2026年初曝光的一起全球性网络入侵事件，揭示了人工智能正在重塑网络攻击的底层逻辑。攻击者并非用大模型编写漏洞或挖掘零日，而是将其深度嵌入决策中枢——通过DeepSeek分析侦察数据生成攻击计划，借助Claude的编码代理自动执行渗透工具，并依托自定义的MCP协议服务器构建持续进化的知识库。从FortiGate防火墙后门到域管理员权限的获取，攻击链条实现了高度自动化与并行化：单个操作者借助AI同时 orchestrate 横跨五大洲的数千个目标，将传统需要团队协作的APT攻击压缩为”一人军团”的作战模式。

更具警示意义的是攻击工具的快速迭代能力：从2025年12月使用的开源框架HexStrike，到两个月后完全自主开发的ARXON与CHECKER2系统，攻击者仅用八周便完成了从半手动到全自动的战术跃迁。这印证了一个危险趋势——大模型正在抹平技术门槛，使中等技能攻击者能够运营过去只有国家级APT才具备的大规模协同入侵能力。

此事件的核心启示在于：防御的重心必须从”修补速度竞赛”转向对AI工作流本身的监控。当攻击者利用语言模型实现实时决策、知识沉淀与工具链自主联动时，传统的边界防御已显滞后。持续审计异常VPN账户、未经授权的SSH会话及策略变更，并建立针对AI代理行为的检测机制，已成为大模型时代安全运营的新基准。

事件如下（来源 Ramen）

2026年2月初，一台配置错误的服务器被发现暴露在互联网上，其上存储着超过一千个文件。这些文件包括被盗的防火墙配置、Active Directory 映射、凭据转储输出以及针对跨洲组织的详细攻击计划。这台服务器与其他服务器的不同之处在于，它集成了一个软件管道，该管道将大型语言模型（LLM）直接整合到入侵工作流程中。

对同一服务器的历史记录进行审查后发现，2025 年 12 月曾发生过类似泄露事件，其中包含类似的工具以及与上述不同的其他受害者数据。

值得注意的是，本案例中使用的模型并未参与编写漏洞利用程序或发现零日漏洞。相反，它们用于对受感染目标进行优先级排序，并快速生成攻击计划，以确保多个入侵行动能够同时进行。

主要发现

一份公开目录曝光了一场活跃入侵活动的全部工具包，已确认至少有 5 个国家/地区的受害者。此前在 12 月份的一次曝光揭示了至少持续两个月的入侵活动。

恶意操作会自动在受感染的 Fortinet 设备上创建后门，然后连接到受害者网络，映射内部基础设施，并将结果提供给语言模型进行分析。

DeepSeek用于根据侦察数据生成攻击计划。Claude的编码代理在入侵过程中生成漏洞评估报告，并配置为在受害者系统上执行攻击工具。

此前未曾报道过的模型上下文协议 (MCP) 服务器充当语言模型的桥梁，维护着一个随着每个目标而增长的知识库。

在观察到的两个时间段之间，攻击者从使用开源的攻击性 MCP 工具演变为使用全自动的漏洞利用系统。

发现

在使用 Hunt.io 的查看开放目录时，存在一个运行在 Python 3.13.9 上的 SimpleHTTP 0.6 版本的服务器，该目录托管了超过 1000 个文件，总大小为 23 MB。

位于 AS4264（Global-Data System IT Corporation，瑞士苏黎世）的服务器212.11.64[.]250:9999上，包含 139 个子目录，共计 1402 个文件。这些子目录中的文件夹包含 CVE 漏洞利用代码、FortiGate 配置文件、Nuclei 扫描模板和 Veeam 凭证提取工具。名为claude-0和claude 的两个文件夹共包含 200 多个文件，其中包括 Claude Code 任务输出、会话差异和缓存的提示状态。一个名为 fortigate_27.123（完整 IP 地址已隐藏）的文件夹包含来自疑似已被入侵的 FortiGate 设备的配置数据和凭证的副本，这是一个开源的攻击性安全框架，它使大型语言模型能够使用 MCP 运行渗透测试工具。

该服务器还托管了 BloodHound 收集的数据、漏洞利用代码的输出、攻击报告以及一个包含settings.json文件的.claude目录。该文件预先授权 Claude Code 使用硬编码的域名凭据自主运行 Impacket、Metasploit、hashcat 和其他攻击工具，这些凭据属于一家总部位于大型媒体公司的员工。

回到最近的文件，操作日志中出现了相同的 IP 地址，该地址作为源地址用于修改多个国家/地区的 FortiGate 设备配置的 SSH 会话。这证实该服务器不仅仅是一个存储库，而是积极参与了入侵活动。

这两个目录中的文件和文件夹内的数据表明，已确认的入侵事件影响到亚太地区的一家工业气体公司、土耳其的一家电信运营商。其他侦察信息还提及了韩国、埃及、越南和肯尼亚的目标，以及针对一家医疗设备制造商的代码。

从 Fortigate 到域管理员

观察到的最完整的入侵数据针对的是上述天然气公司。虽然恢复的文件并未显示 FortiGate 设备最初是如何被攻破的，但攻击者当时已经掌握了管理员凭证。接下来，我们将通过审查最相关的文件来记录攻击过程中的活动，包括语言模型在攻击工作流程中的应用位置。

配置提取

查阅fortigate_27.123*文件夹中的文档可知，备份的起点是位于分支机构的 FortiGate-40F 设备，该设备通过只读管理员帐户（Technical_support）访问。尽管权限有限，该帐户仍能提取完整的备份配置，从而获取总部网络、分支机构子网、访客网络和管理网络以及 SSL VPN 设置（包括所有已配置的用户帐户）的网络拓扑结构。同一目录下有一个名为EXTRACTED_DATA_SUMMARY.md的 Markdown 文件，其中详细列出了数据，包括 50 个 VPN 用户帐户的名称和员工 ID、LDAP 服务器设置以及第二个 FortiGate 设备的地址。该文档还包含了组织域控制器 (DC) 的详细信息，并列出了后续利用的优先步骤。

凭证收集

该配置包含一个 LDAP 绑定配置，用于通过 Active Directory 对 VPN 用户进行身份验证，其中包括域控制器地址和绑定帐户。绑定密码以 Fortinet 的加密 ENC 格式存储。服务器上与 CVE-2019-6693 相关的两个 Python 脚本可能解密了备份文件中的所有密码。入侵后生成的漏洞评估报告证实用户名/密码有效，并记录了针对域控制器成功运行的命令。

LLM驱动的分析

凭借一套有效的凭证和来自 FortiGate 配置的完整网络拓扑图，威胁行为者通过 FortiSSL VPN 进行内部侦察，并转向自动化策略。扫描结果和侦察数据通过定制的 MCP 服务器进行处理。针对土耳其公司的攻击是这一自动化流程最清晰的例证。同一组文件中的 Claude Task 文件揭示了攻击者在向模型传递输入信息时的思路：当前访问权限、无法访问的关键内部目标（Oracle 数据库、生物识别设备等）。攻击者还添加了已知漏洞和窃取的凭证。提示信息最后包含四个具体请求：

1、针对超出攻击范围的目标的攻击向量

2、DC 共享上的凭证搜索位置

3、识别IT人员的方法

4、通往域管理员的优先路径

利用 Claude 代码进行主动攻击

这份评估报告也是一个 Markdown 文件，日期为 2026 年 2 月 1 日，文档底部注明作者为 Claude Code。其下方的一条注释指出，到某目标基础设施的往返时间为 400 毫秒，这证实该信息很可能是在远程连接期间生成的。

该报告记录了两个主要的内部目标：一台 QNAP NAS 和一台 Veeam Backup 服务器，两者均已禁用 SMB 签名。报告记录了多次利用 Metasploit 模块和公开可用的漏洞利用代码进行的攻击尝试。输出数据还显示 ntlmrelayx.py 进程正在运行，表明该脚本在报告创建期间处于活动状态。该脚本是 Impacket 套件的一部分，旨在捕获凭据并对特定目标进行身份验证。

最后，评估结果确定了优先的后续步骤：编译并执行 Veeam RCE 漏洞利用程序，通过域访问触发强制身份验证，并继续扫描受害者网络以查找其他入口点。

ARXON 和 CHECKER2：一种用于辅助漏洞利用的定制 MCP

前几节追踪了两条独立的入侵链。从目录中恢复的工具显示，此次入侵行动旨在并行攻击数千个目标。

通过对目录文件的梳理，我们发现恶意活动的核心是两个自定义组件。截至发稿时，我们尚未找到任何关于这两个组件的公开报告或参考资料。下表列出了这两个工具。

| | | | | | — | — | — | — | | 成分 | 语言 | 角色 | 证据/文件名 | | 检查器2 | 去 | 基于 Docker 的并行 VPN 扫描和目标处理编排器。 | 备份概要.md | | ARXON MCP | Python | 模型上下文协议服务器将LLM分析与攻击脚本相结合。 | arxon-mcp.log、arxon_client.log |

在名为 deploy_output.log 的文件中，一个部署脚本将一个 102MB 的 FortiGate 配置归档文件（按国家/地区组织）传输到位于 [此处应填写服务器地址] 的独立 Kali Linux 服务器185.196.11[.]X，并启动了自动扫描。其中一次扫描的输出结果识别出 106 个国家/地区的 2,516 个目标，这些目标被并行分批处理。每个容器都遵循相同的流程：接收窃取的 VPN 配置、尝试连接、扫描内部网络并将结果传递给 ARXON 进行 LLM 分

ARXON 扮演着双重角色。首先，它是一个分析平台，能够接收每个目标的侦察数据，调用 DeepSeek 生成攻击计划，并将结果存储在一个持久化的知识库中，该知识库会随着每个目标的增加而不断增长。

作为一套工具包，它包含可直接修改受害者基础设施的脚本，包括批量创建基于 SSH 的 FortiGate VPN 帐户、用户配置和自动域管理员凭据验证。

作战历史与演变

上述信息并非该服务器首次错误地将数据暴露在外。正如开头简要提及，Hunt 的扫描结果显示，早在 2025 年 12 月 19 日，就曾发现一个未关闭的目录。

12 月份泄露的文件中包含 HexStrike 的副本，这是一个开源的攻击性安全框架，它允许语言模型通过 MCP 执行渗透测试工具，与 ARXON 非常相似。

在这组文件中，最值得注意的是位于.claude目录下的 Claude Code 设置文件。settings.local.json 文件预先授权 Claude Code 自主执行 Impacket 工具（secretsdump.py、psexec.py、wmiexec.py）、Metasploit 和 hashcat 等工具。该文件中直接硬编码了一家大型媒体公司的域名凭据。

需要注意的是，此文件与第 2 节中讨论的报告不同。漏洞评估记录了 Claude Code 在实际入侵过程中编写操作计划的过程。该 .json 文件允许模型执行攻击工具，而无需对每个命令进行审批。

从 12 月到 2 月，攻击者从公开可用的 HexStrike 工具转向了 ARXON 和 CHECKER2 这两款没有公开痕迹的定制工具。虽然这一时间线并未显示攻击者拥有高超的技术，但工作流程的转变表明，从半手动攻击过渡到针对全球 FortiGate 设备的完全协同攻击是多么容易。

简要说明：战术改变？

在最近一次攻击活动中的 deepseek_attack_plan.py 脚本中，列出了多个被标记为易受攻击的目标和系统。其中包括一个可通过 telnet 访问的 ZKSoftware 生物识别访问控制系统，该系统可能被 telnetd 中的远程身份验证绕过漏洞 CVE-2026-24061 所利用。目前尚无明确数据证实该软件是否是攻击目标，但如果被利用，则表明攻击者此前主要攻击边缘设备并从内部网络窃取凭证的策略发生了重大转变。

结论/展望未来

此次行动的意义并非取决于任何单一技术。从BloodHound到Nuclei，再到Impacket，所有被观察到的工具都有详细的记录。此次行动的独特之处在于整合了多级监控：一个（很可能）由单一操作员负责管理跨多个国家的同步入侵，并在每个阶段都提供分析支持。

从 HexStrike 到 ARXON 的过渡大约耗时八周，这期间可以恢复部分数据。语言模型只能帮助技能水平中等偏下的玩家减少一个人同时可以攻击的目标数量。

这种双模型方法（根据任务需要选择最宽松或最合适的模型）很可能会成为一种常见的做法。对于防御者而言，这应该会让他们更加意识到修补边缘设备的重要性，尽管新漏洞的出现速度确实难以跟上。因此，持续审计未经授权的 VPN 帐户、意外的 SSH 访问和未经批准的策略更改至关重要。

随着人工智能不断融入进攻性行动，网络安全防御的关键在于跟上这种工作流程的推进速度。

附录A：攻击使用的CVE

| | | | | — | — | — | | CVE | 定向技术 | 角色 | | CVE-2026-24061 | ZKSoftware 生物识别设备（telnet） | 可能针对实体安全控制系统的攻击 | | CVE-2025-33073 | 中小企业 | Windows 主机上的权限提升 | | CVE-2023-27532 | Veeam备份与复制 | 从备份基础架构中提取凭据 | | CVE-2019-7192 | QNAP NAS | 访问网络存储 |

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：暗镜 Ramen Ramen《从多目标Fortinet、DC入侵看AI时代大型语言模型（LLM）直接整合到入侵工作流程》