LOCKBIT 3.0 EXPLOTA CVE-2026-35616 EN FORTINET FORTICLIENT EMS LATAM
Situación
Inteligencia de fuentes abiertas confirma explotación activa de vulnerabilidad crítica CVE-2026-35616 (CVSS 9.8) en Fortinet FortiClient EMS por actor con perfil consistente con LockBit 3.0. La falla permite ejecución remota de código sin autenticación en sistemas de gestión centralizada. CISA incorporó la vulnerabilidad al catálogo KEV con deadline 6 abril 2026, indicando explotación confirmada en entornos federales.
Telemetría del SOC operativo QMA registra 62 indicadores únicos asociados con técnicas de acceso inicial y movimiento lateral. Verificación vía VirusTotal muestra detección máxima de 18 motores en artefactos relacionados. La convergencia de fuentes sugiere campaña coordinada contra infraestructuras de gestión endpoint en múltiples geografías.
FortiClient EMS es ampliamente desplegado en sectores financiero, gubernamental y telecomunicaciones en México y LATAM para administración centralizada de agentes de seguridad, convirtiendo la explotación en vector de acceso privilegiado a redes corporativas.
Indicadores verificados
| Tipo | Indicador | VT | Fuente | Acciones |
|---|---|---|---|---|
| domain | youtubepremiumapp.com | 18/92 | AlienVault OTX | VT |
| domain | secure-signal.com-en.io | 17/92 | AlienVault OTX | VT |
| domain | en-account.info | 16/92 | AlienVault OTX | VT |
| domain | signin-apple.com-en-uk.co | 16/92 | AlienVault OTX | VT |
| domain | encryption-plug-in-signal.com-ae.net | 16/92 | AlienVault OTX | VT |
| domain | telegram.com-en.io | 16/92 | AlienVault OTX | VT |
| domain | facetime.com-en.io | 16/92 | AlienVault OTX | VT |
| domain | id-apple.com-en.io | 15/92 | AlienVault OTX | VT |
Contexto TIFE
Convergencia de 18 motores en VirusTotal confirma artefactos maliciosos asociados. MITRE técnicas observadas incluyen T1190 (Exploit Public-Facing Application), T1059.001 (PowerShell), T1021.001 (RDP), T1133 (External Remote Services) y T1078.001 (Default Accounts). El patrón de técnicas es consistente con TTPs históricas de LockBit 3.0 en campañas LATAM 2025-2026. Sin IOCs activos en ThreatFox sugiere operación de bajo perfil o uso de infraestructura dedicada. La inclusión en CISA KEV acelera timeline de remediación obligatoria para sectores críticos.
Acción recomendada
SOC: Inventario urgente FortiClient EMS expuestos, aplicar patch disponible inmediatamente, monitoreo eventos T1190/T1133. CISO: Evaluación sectorial exposición EMS, coordinación con Fortinet para parche crítico, revisión accesos administrativos centralizados. Prioridad operativa 8.4/10 requiere acción dentro 48 horas por inclusión CISA KEV.
Evidencia técnica verificada
| Tipo | Indicador | VT | Fuente | Conf | Threat | Acciones |
|---|---|---|---|---|---|---|
| Domain | youtubepremiumapp.com | 18/92 | otx | 75% | — | VT |
| Domain | secure-signal.com-en.io | 17/92 | otx | 75% | — | VT |
| Domain | en-account.info | 16/92 | otx | 75% | — | VT |
| Domain | facetime.com-en.io | 16/92 | otx | 75% | — | VT |
| Domain | telegram.com-en.io | 16/92 | otx | 75% | — | VT |
| Domain | encryption-plug-in-signal.com-ae.net | 16/92 | otx | 75% | — | VT |
| Domain | signin-apple.com-en-uk.co | 16/92 | otx | 75% | — | VT |
| Domain | id-apple.com-en.io | 15/92 | otx | 75% | — | VT |
| Domain | verify-apple.com-ae.net | 11/92 | otx | 75% | — | VT |
| Domain | android.com-ae.net | 10/92 | otx | 75% | — | VT |
| Domain | join-facetime.com-ae.net | 10/92 | otx | 75% | — | VT |
| Domain | com-ae.net | 9/92 | otx | 75% | — | VT |
| Domain | nightly.link | 0/92 | otx | 40% | — | VT |
| SHA256 | 2c9fbfb6a4180809f44ecea0...cec85d22 | — | otx | 75% | — | VTMB |
| SHA256 | 2979550f09765f36d09e4cad...ba03e8df | — | otx | 75% | — | VTMB |


