### Explotación de CVE-2026-35616 Según **Arctic Wolf**, la campaña, detectada en mayo de 2026, abusa de **FortiClient** EMS explotando **CVE-2026-35616** (puntuación CVSS: 9.1). Este acceso API crítico previo a la autenticación permite la escalada de privilegios. **Fortinet** abordó la vulnerabilidad en **FortiClient** EMS 7.4.7 y versiones posteriores. Se insta a las organizaciones que utilizan versiones anteriores a actualizar de inmediato. ### Análisis de la Cadena de Ataque La explotación exitosa permite a los atacantes modificar configuraciones, posponer recordatorios de actualización de firmware y alterar la configuración del Perfil de Acceso Remoto. Esto permite la inyección de scripts maliciosos diseñados para su ejecución en los dispositivos de endpoint. Los atacantes utilizan eficazmente la propia ruta de gestión de **FortiClient** para enviar comandos maliciosos de **PowerShell**, imitando operaciones administrativas legítimas.  ### Malware Disfrazado: FortiEndpoint_Patch.exe El ataque utiliza "fortitray.exe", un ejecutable legítimo de **FortiClient**, para lanzar un script .cmd a través de "cmd.exe". Este script luego ejecuta un script de **PowerShell** codificado en Base64 responsable de descargar y ejecutar la carga maliciosa, y de exfiltrar datos robados a "83.138.53[.]110" a través de solicitudes HTTP POST. La carga útil, denominada "FortiEndpoint_Patch.exe", es un ladrón de información de Windows previamente indocumentado. Recopila datos sensibles de navegadores basados en Chromium y Gecko, incluyendo contraseñas, cookies, datos de autocompletado (información de tarjetas de crédito, direcciones y números de teléfono), y los guarda en un archivo de registro en el directorio ProgramData. El script de **PowerShell** luego transmite estos datos a la infraestructura controlada por el atacante. ### Implicaciones y Mitigación **Arctic Wolf** enfatiza que al eludir la autenticación de la API, los actores de amenazas pueden modificar las configuraciones de gestión y ejecutar scripts maliciosos en los endpoints gestionados. Las cookies de sesión robadas y las credenciales de navegador guardadas pueden otorgar a los atacantes acceso a servicios en la nube, aplicaciones internas y otros recursos autenticados, eludiendo potencialmente la autenticación multifactor (MFA). Se recomienda a las organizaciones: * Actualizar inmediatamente **FortiClient** EMS a la versión 7.4.7 o posterior. * Monitorear los registros de **FortiClient** EMS en busca de actividad sospechosa. * Implementar controles de acceso robustos y revisar regularmente las configuraciones. * Educar a los usuarios sobre los riesgos de ejecutar actualizaciones de software inesperadas o no solicitadas.