Gelombang baru serangan siber menunjukkan bagaimana kecerdasan buatan tidak lagi menjadi alat eksklusif bagi tim riset keamanan atau perusahaan teknologi besar. Investigasi terbaru dari Amazon mengungkap bahwa seorang atau sekelompok kecil aktor ancaman berbahasa Rusia, yang bermotif finansial, berhasil mengompromikan lebih dari 600 perangkat FortiGate di 55 negara dengan memanfaatkan layanan AI generatif komersial. Aktivitas ini terdeteksi berlangsung antara 11 Januari hingga 18 Februari 2026 dan memperlihatkan bagaimana AI mampu memperbesar skala serangan bahkan bagi pelaku dengan kemampuan teknis terbatas.
Tidak Mengeksploitasi Kerentanan, Tapi Celah Konfigurasi Dasar
Menariknya, kampanye ini tidak melibatkan eksploitasi kerentanan zero-day atau celah teknis kompleks pada perangkat FortiGate. Tidak ditemukan eksploitasi terhadap bug spesifik. Sebaliknya, keberhasilan serangan justru bertumpu pada dua kelemahan mendasar: port manajemen yang terekspos ke internet dan kredensial lemah dengan autentikasi satu faktor.
Dengan bantuan AI generatif, pelaku mampu menyusun rencana serangan, mengembangkan tooling, hingga menghasilkan perintah operasional secara otomatis. AI digunakan sebagai “mesin produksi” untuk mempercepat tahapan attack lifecycle, mulai dari reconnaissance hingga post-exploitation. Dalam praktiknya, satu tool AI menjadi tulang punggung operasi, sementara tool kedua digunakan sebagai fallback untuk pivoting di dalam jaringan korban yang sudah berhasil ditembus.
AI Menurunkan Barrier to Entry Kejahatan Siber
Fenomena ini sejalan dengan temuan sebelumnya dari Google yang menyebut bahwa AI generatif semakin sering digunakan aktor ancaman untuk mempercepat dan menskalakan operasi mereka. Walau tidak menciptakan teknik eksploitasi revolusioner, AI membuat kapabilitas yang sebelumnya hanya dimiliki tim berpengalaman kini dapat diakses oleh pelaku dengan skill terbatas.
Menurut laporan tersebut, aktor ini bukan bagian dari kelompok APT (Advanced Persistent Threat) yang disponsori negara. Mereka diduga murni termotivasi keuntungan finansial. Namun, dengan augmentasi AI, skala operasional yang biasanya membutuhkan tim besar dan berpengalaman dapat dicapai oleh individu atau kelompok kecil.
Teknik Serangan: Dari Scanning hingga Kompromi Active Directory
Serangan dimulai dengan pemindaian sistematis terhadap interface manajemen FortiGate yang terekspos ke internet pada port 443, 8443, 10443, dan 4443. Proses ini bersifat mass scanning dan lintas sektor industri, mengindikasikan otomasi penuh. Setelah menemukan target, pelaku mencoba autentikasi menggunakan kredensial yang umum digunakan atau didaur ulang.
Begitu akses VPN diperoleh, pelaku mengekstrak konfigurasi penuh perangkat FortiGate. Dari sana, mereka memperoleh kredensial, informasi topologi jaringan, serta konfigurasi perangkat lain yang terhubung. Data tersebut menjadi batu loncatan untuk penetrasi lebih dalam ke jaringan internal.
Tahap lanjutan mencakup reconnaissance menggunakan Nuclei untuk pemindaian kerentanan, kompromi Active Directory melalui teknik DCSync, serta pergerakan lateral menggunakan pass-the-hash, pass-the-ticket, dan NTLM relay. Target berikutnya adalah infrastruktur backup, khususnya server Veeam Backup & Replication, dengan upaya eksploitasi terhadap kerentanan yang telah diketahui seperti CVE-2023-27532 dan CVE-2024-40711.
Indikasi Kuat Pengembangan Tool Berbasis AI
Analisis terhadap source code tool kustom yang digunakan pelaku—ditulis dalam Go dan Python—menunjukkan pola khas pengembangan berbasis AI. Terdapat komentar redundan yang hanya mengulang nama fungsi, arsitektur sederhana dengan perhatian berlebihan pada formatting, serta parsing JSON yang naif menggunakan string matching alih-alih deserialisasi yang benar.
Ini memperlihatkan bahwa AI memang mempercepat produksi kode, tetapi tetap mencerminkan keterbatasan teknis penggunanya. Bahkan dokumentasi internal pelaku mencatat banyak kegagalan ketika mencoba mengeksploitasi target yang telah melakukan patching atau menutup port yang relevan. Jika jalur serangan otomatis gagal, mereka cenderung meninggalkan target dan beralih ke korban yang lebih lemah.
AI-Powered Assembly Line for Cybercrime
Amazon menggambarkan modus operandi ini sebagai “AI-powered assembly line for cybercrime.” Infrastruktur publik yang dikelola pelaku bahkan menyimpan artefak seperti rencana serangan yang dihasilkan AI, konfigurasi korban, hingga source code tooling. Ini menunjukkan proses yang terstruktur dan terdokumentasi, meski dilakukan oleh aktor dengan kemampuan teknis menengah ke bawah.
Dampak serangan terdeteksi di berbagai wilayah, termasuk Asia Selatan, Amerika Latin, Karibia, Afrika Barat, Eropa Utara, dan Asia Tenggara. Dalam beberapa kasus, satu organisasi mengalami kompromi pada beberapa perangkat FortiGate sekaligus, menandakan dampak pada level organisasi, bukan sekadar perangkat individual.
Strategi Mitigasi: Kembali ke Fundamental Keamanan
Meningkatnya serangan terhadap perangkat Fortinet menegaskan pentingnya kontrol keamanan dasar. Organisasi wajib memastikan interface manajemen tidak terekspos ke internet secara langsung, mengganti kredensial default maupun kredensial umum, serta menerapkan multi-factor authentication untuk akses administratif dan VPN.
Selain itu, rotasi kredensial SSL-VPN, audit akun administratif tidak sah, serta segmentasi jaringan yang ketat harus menjadi prioritas. Server backup harus diisolasi dari akses jaringan umum dan seluruh perangkat perimeter wajib mengikuti praktik patch management yang disiplin.
Tren ini diprediksi terus berkembang sepanjang 2026. Aktivitas ancaman yang diperkuat AI kemungkinan meningkat baik dari aktor berpengalaman maupun pemula. Dalam konteks ini, pertahanan paling efektif tetaplah fundamental keamanan yang kuat: manajemen patch, kebersihan kredensial, segmentasi jaringan, dan deteksi dini terhadap indikator post-exploitation.
Serangan ini menjadi pengingat bahwa dalam banyak kasus, bukan eksploitasi canggih yang menjadi pintu masuk, melainkan kelalaian terhadap praktik keamanan paling dasar. AI hanya mempercepat apa yang sejak lama sudah menjadi kelemahan utama banyak organisasi.