Cybercriminelen maken gebruik van gehackte FortiClient Enterprise Management Servers (EMS) om malware te verspreiden die vermomd is als een update van Fortinet. Dit meldt cybersecuritybedrijf Arctic Wolf. FortiClient EMS stelt beheerders in staat om op afstand systemen te beheren waarop FortiClient-software draait, waaronder het configureren van antivirus, webfilters, VPN en updates.

Begin april waarschuwde Fortinet voor actief misbruik van een kritieke kwetsbaarheid in FortiClient EMS, geregistreerd als CVE-2026-35616. Deze kwetsbaarheid maakt het mogelijk voor een ongeauthenticeerde aanvaller om willekeurige code of commando's op de FortiClient-server uit te voeren. Volgens Arctic Wolf gebruiken aanvallers dit lek om eerst de FortiClient-server te compromitteren. Vervolgens wordt via het beheerkanaal malware uitgerold naar alle endpoints die via de server worden beheerd.

De malware betreft een infostealer die inloggegevens zoals wachtwoorden en cookies steelt uit browsers als Google Chrome, Microsoft Edge en andere Chromium-gebaseerde browsers, evenals Mozilla Firefox. Daarnaast worden ook creditcardgegevens en andere informatie uit opgeslagen webformulieren buitgemaakt. De aanvallers hebben de malware vermomd als een legitieme Fortinet-update om detectie te voorkomen. Tevens worden malafide PowerShell-commando's via het FortiClient-beheerkanaal uitgevoerd, waardoor de acties lijken op reguliere beheertaken.