文章总结： 2026年2月，一个配置错误的服务器暴露了攻击者利用大型语言模型（LLM）集成到自动化攻击工具链的完整证据。攻击者通过定制工具ARXON与CHECKER2，结合Claude和DeepSeek等模型，对全球多家企业的FortiGate防火墙进行入侵，从配置提取、凭据解密到内部侦察与域控攻击，实现了从半手动到全自动的演进。防御方面临AI加速攻击的新挑战，需加强边界设备修补、VPN账户审计与策略变更监控。 综合评分： 78 文章分类： 威胁情报,恶意软件,渗透测试,AI安全,漏洞分析

当LLM进入“杀伤链”：起底那个横跨大洲的定制MCP与FortiGate攻击行动

幻泉之洲

2026年2月23日 09:16 北京

今年二月，一个配置错误的服务器暴露在互联网上，里面不仅装满了全球多家企业的防火墙配置、攻击计划，还完整展示了一套将大型语言模型（LLM）直接集成到入侵流程中的自动化攻击工具链。这篇文章将带你看清，攻击者如何用AI加速入侵，以及安全防线正面临怎样的新挑战。

发现的源头：一个装满秘密的服务器

事情要从2026年2月初说起。当时，我在使用Hunt.io的Attack Capture功能审查开放的目录时，注意到一个运行着Python SimpleHTTP服务器的异常IP（212.11.64[.]250:9999）。这个服务器暴露了超过1400个文件，总共23MB。里面装着的东西可一点都不简单。

这个目录里包含了CVE漏洞利用代码、FortiGate防火墙配置文件、Nuclei扫描模板，以及Veeam备份服务器的凭据提取工具。更引人注目的是，两个分别名为“claude-0”和“claude”的文件夹里，存放着超过200份文件，里面有Claude Code的任务输出、会话差异和缓存的提示状态。一个名为“fortigate_27.123”的文件夹则存放着似乎是来自一台已被攻陷的FortiGate设备的配置数据和登录凭证。

通过Hunt进一步追溯这个IP的历史，发现它在2025年12月中旬也曾暴露过一个目录。那次暴露包含了HexStrike的副本，这是一个开源攻击性安全框架，能让大语言模型通过MCP（模型上下文协议）来运行渗透测试工具。这表明，攻击者的行动至少持续了两个月。

从防火墙到域控：一次完整的入侵解剖

在所有数据中，针对一家亚太地区工业气体公司的入侵记录最为完整。虽然文件没有说明那台FortiGate防火墙最初是如何被攻破的，但攻击者显然已经拿到了管理员权限。从这里开始，他们的每一步都通过文件记录得清清楚楚。

配置提取与凭据收割

攻击起点是分支机构的一台FortiGate-40F设备，攻击者通过一个只读的“技术支持”账户登录。尽管权限有限，这个账户依然能提取完整的备份配置文件，里面包含了公司总部网络、分支机构子网、访客和管理网络，以及SSL VPN的所有设置，包括所有已配置的用户账户。一份名为“EXTRACTED_DATA_SUMMARY.md”的文件详细列出了50个VPN用户账户、LDAP服务器设置和另一台FortiGate设备的地址，甚至还附上了用于后续攻击的“优先后续步骤”。

配置文件中包含用于VPN用户对接Active Directory进行认证的LDAP绑定配置。绑定的密码以Fortinet加密的ENC格式存储。服务器上的Python脚本很可能利用CVE-2019-6693解密了备份文件中的所有密码。后来的漏洞评估报告证实，这些用户名和密码是有效的。

LLM驱动的分析与自动化攻击

拿到有效的凭据和完整的网络地图后，攻击者通过FortiSSL VPN转入内部侦察，并切换到自动化策略。

扫描结果和侦察数据被送入一个定制的MCP服务器进行处理。最典型的例子来自针对一家土耳其公司的攻击。一份Claude任务文件揭示了攻击者的思路：他向模型提供了当前已获得的访问权限、尚未访问的关键内部目标（如Oracle数据库、生物识别设备等），以及已知漏洞和窃取的凭证。提示词最后提出了四个具体要求：

1）针对无法直接访问目标的攻击向量；

2）在域控制器共享上搜索凭据的位置；

3）识别IT人员的方法；

4）一条获取域管理员权限的优先路径。

一份标注日期为2026年2月1日、底部署名“Claude Code”的评估报告，揭示了攻击的活跃状态。报告底部的一条备注显示，与亚太地区目标基础设施的往返延迟为400毫秒，这表明报告是在活跃的远程连接期间生成的。

报告记录了两个主要内部目标：一台禁用SMB签名的QNAP NAS和一台Veeam备份服务器。攻击者尝试使用了多种Metasploit模块和公开的漏洞利用代码。输出数据还显示了一个正在运行的ntlmrelayx.py进程，这是Impacket套件中的工具，用于捕获凭据并进行认证接力。评估报告最后给出了优先后续步骤：编译并执行Veeam远程代码执行漏洞利用程序，通过域访问触发强制认证，并继续扫描受害者网络寻找更多入口点。

核心武器：定制工具ARXON与CHECKER2

梳理目录文件后，两个此前未见公开报告的定制组件浮出水面，它们构成了此次恶意活动的技术核心。

| 组件 | 语言 | 角色 | 证据/文件名 | | — | — | — | — | | CHECKER2 | Go | 基于Docker的编排器，用于并行VPN扫描和目标处理。 | BACKUP_SUMMARY.md | | ARXON MCP | Python | 模型上下文协议服务器，将LLM分析与攻击脚本相结合。 | arxon-mcp.log, arxon_client.log |

在一份名为“deploy_output.log”的文件中，一个部署脚本将一个按国家组织的、102MB大小的FortiGate配置存档传输到了另一个位于185.196.11[.]225的Kali Linux服务器，并启动了自动扫描。其中一次扫描的输出识别了来自106个国家的2516个目标，这些目标被分批并行处理。每个容器都遵循相同的流程：获取窃取的VPN配置，尝试连接，扫描内部网络，然后将结果传递给ARXON进行LLM分析。

ARXON扮演着双重角色。首先，它是一个分析平台，接收每个目标的侦察数据，调用DeepSeek生成攻击计划，并将结果存储在一个随着每个目标而增长的持久化知识库中。其次，它也是一个工具包，包含了直接修改受害者基础设施的脚本，例如基于SSH的批量FortiGate VPN账户创建、用户配置以及自动化的域管理员凭据验证。

行动演化：从半手动到全自动的八周

这次服务器暴露并非首次。2025年12月的暴露目录包含了HexStrike的副本。更重要的是，在一个“.claude”目录中，发现了一个Claude Code的配置文件“settings.local.json”。这个文件预先批准了Claude Code自动执行Impacket工具、Metasploit和hashcat等攻击工具。令人担忧的是，一家亚洲大型媒体公司的域凭证被硬编码在这个文件中。

需要区分的是，这份JSON文件与前面提到的漏洞评估报告不同。报告记录了Claude Code在实时入侵中制定作战计划，而JSON文件则允许模型无需为每条命令申请批准即可执行攻击工具。

从12月到次年2月，大约八周时间里，攻击者从使用公开可得的HexStrike，演进到了使用没有公开痕迹的定制工具ARXON和CHECKER2。这个时间线并没有展现出一个高技能的操作者，但却清晰显示了从半手动攻击，到完全自动化、全球化地攻击FortiGate设备的工作流程转变是多么容易。

最新的攻击脚本“deepseek_attack_plan.py”中还列出了许多被标记为易受攻击的目标和系统，包括一台可通过telnet访问、可能受CVE-2026-24061漏洞影响的ZKSoftware生物识别门禁系统。虽然没有明确数据证实攻击者是否利用了它，但这可能标志着攻击者从之前主要瞄准边界设备、窃取内部网络凭据的策略发生了重大转变，开始考虑攻击物理安全控制系统。

总结与反思

这次行动的重要性不在于任何一种单一的技术。从BloodHound到Nuclei，再到Impacket，所有被观察到的工具都是众所周知的。真正让这次活动与众不同的是LLM的集成：一个（很可能）单独的操作者，在分析支持的帮助下，管理着横跨多国的同步入侵行动。

攻击者采取了“双模型”策略，针对不同任务使用最宽松或最擅长的模型，这很可能成为一种反复出现的模式。对防御方而言，这凸显了修补边界设备的重要性——尽管新CVE出现的速度确实让人难以招架。持续审计未经授权的VPN账户、意外的SSH访问和未经批准的策略变更，仍然至关重要。

随着AI被越来越多地融入攻击行动，防御网络的速度必须匹配这种自动化工作流程的节奏。现在的问题不再是攻击者会不会用AI，而是你的防御体系能不能跟上他们用AI之后的节奏。

入侵指标 (IOCs)

• IP地址: 212.11.64[.]250:9999
• IP地址: 185.196.11[.]225

（两个IP地址均归属于AS4264 – Global-Data System IT Corporation, Zurich, Switzerland）

附录A：观察到的CVE漏洞

| CVE编号 | 受影响技术 | 在攻击中的角色 | | — | — | — | | CVE-2026-24061 | ZKSoftware生物识别设备 (telnet) | 可能用于攻击物理安全控制系统 | | CVE-2025-33073 | SMB | 在Windows主机上进行权限提升 | | CVE-2023-27532 | Veeam Backup & Replication | 从备份基础设施提取凭据 | | CVE-2019-7192 | QNAP NAS | 访问网络存储 |

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：幻泉之洲 《当LLM进入“杀伤链”：起底那个横跨大洲的定制MCP与FortiGate攻击行动》