A operação de ransomware Qilin está explorando ativamente vulnerabilidades críticas da Fortinet para comprometer dispositivos e lançar ataques altamente disruptivos. As falhas estão sendo usadas para executar código remotamente e ignorar autenticação em firewalls FortiGate, com impactos já sentidos em serviços essenciais, como hospitais e redes governamentais.
Grupo Qilin explora falhas críticas da Fortinet em ataques globais de ransomware
Nova onda de ataques direcionados a falhas da Fortinet
A campanha recente da operação Qilin — também conhecida como Phantom Mantis — é marcada por um alto grau de automação e precisão. Segundo alerta divulgado pela empresa de inteligência de ameaças PRODAFT em caráter privado ao BleepingComputer, os operadores estão explorando múltiplas falhas, incluindo CVE-2024-21762 e CVE-2024-55591, para obter acesso inicial em redes corporativas.
Essas vulnerabilidades permitem a execução remota de código (RCE) e a evasão de autenticação em dispositivos Fortinet desatualizados, comprometendo diretamente o perímetro de segurança de muitas organizações.
“Avaliações indicam que o grupo visa principalmente países de língua espanhola, mas adota uma postura oportunista, explorando alvos globalmente”, afirma o relatório da PRODAFT.
Histórico da operação Qilin e suas vítimas
O grupo Qilin surgiu em agosto de 2022, inicialmente sob o nome Agenda, operando como um serviço de ransomware (Ransomware-as-a-Service – RaaS). Desde então, já reivindicou mais de 310 vítimas em seu portal na dark web. Entre os alvos estão empresas de grande porte como:
- Yanfeng (setor automotivo)
- Lee Enterprises (mídia e publicação)
- Court Services Victoria (Austrália)
- Synnovis (patologia médica)
Este último ataque causou graves interrupções em hospitais do NHS em Londres, com cancelamentos de cirurgias e consultas, evidenciando o alto impacto dos ataques do grupo.
CVEs exploradas: da exploração zero-day à negligência de mitigação
A falha CVE-2024-55591 foi identificada inicialmente como um zero-day em novembro de 2024 e chegou a ser usada por outros grupos, como o Mora_001, para implantar o ransomware SuperBlack, associado à gangue LockBit.
Já a CVE-2024-21762 foi corrigida em fevereiro de 2025 e incluída no catálogo de falhas exploradas da CISA, com prazo até 16 de fevereiro para mitigação em redes federais dos EUA. No entanto, a Shadowserver Foundation revelou posteriormente que cerca de 150 mil dispositivos ainda permanecem vulneráveis, mesmo após a divulgação pública e correções.
Fortinet no centro das campanhas de espionagem e ransomware
Esta não é a primeira vez que produtos Fortinet figuram como vetor primário em grandes campanhas. Em fevereiro, a própria Fortinet divulgou que o grupo chinês Volt Typhoon explorou falhas em FortiOS SSL VPN (CVE-2022-42475 e CVE-2023-27997) para implantar o trojan Coathanger, usado inclusive para manter acesso oculto em redes militares europeias.
O histórico recorrente de exploração de vulnerabilidades da Fortinet levanta preocupações sobre a velocidade de mitigação por parte das organizações e sobre os mecanismos de atualização automática desses dispositivos críticos.
O que esperar nos próximos meses
Especialistas apontam que, embora a campanha atual tenha foco inicial em países de língua espanhola, a tendência é de rápida expansão global, especialmente por se tratar de uma operação parcialmente automatizada. Empresas e instituições que ainda não aplicaram os patches divulgados correm risco elevado de se tornarem alvos.
Com a complexidade crescente dos ataques e a sofisticação de grupos como o Qilin, a segurança de firewalls e gateways VPN deve ser tratada como prioridade absoluta. A aplicação de correções de segurança, a revisão de acessos remotos e o monitoramento contínuo de tráfego malicioso são medidas urgentes para reduzir o risco de comprometimento.
