Criminelen gebruiken gehackte Fortinet FortiClient-servers om binnen organisaties malware te verspreiden die vermomd is als een update van Fortinet. Dat meldt cybersecuritybedrijf Arctic Wolf. FortiClient EMS (Enterprise Management Server) is een oplossing waarmee beheerders op afstand systemen kunnen beheren waarop de FortiClient-software draait. Zo is het bijvoorbeeld mogelijk om zaken als antivirussoftware, webfilters, vpn en signature-updates in te stellen.

Begin april waarschuwde Fortinet voor actief misbruik van een kritieke kwetsbaarheid in FortiClient EMS. Via het lek (CVE-2026-35616) kan een ongeauthenticeerde aanvaller willekeurige code of commando's op de FortiClient-server uitvoeren. Arctic Wolf meldt dat aanvallers CVE-2026-35616 misbruiken om eerst de FortiClient-server te hacken. Vervolgens wordt onder alle endpoints die via de server worden beheerd malware uitgerold.

Het gaat in dit geval om infostealer-malware die inloggegevens zoals wachtwoorden en cookies steelt die in Google Chrome, Microsoft Edge en andere Chromium-gebaseerde browsers zijn opgeslagen, alsmede Mozilla Firefox. Verder steelt de malware ook creditcardgegevens en andere informatie van webformulieren die is opgeslagen. Daarbij hebben de aanvallers de malware vermomd als een Fortinet-update, aldus de onderzoekers. Die voegen toe dat de aanvallers het beheerkanaal van FortiClient gebruiken om malafide PowerShell commando's op beheerde endpoints uit te voeren, op een manier waardoor het om een legitieme actie lijkt te gaan.