Inicio » Zero Day Unit » LOCKBIT 3.0 EXPLOTA CVE-2026-35616 EN FORTINET FORTICLIENT EMS LATAM
⏱ 2 min lectura · Publicado el 15 de mayo de 2026
BTU-FLARE-043007 · ELEVATEDSCORE 40/100 · 5/8 TIFE
THREAT ACTOR

LockBit 3.0

CVE-2026-35616 · FORTINET FORTICLIENT EMS LATAM
T1190T1059.001T1021.001T1133LockBit 3.0
FLARE by Blacktrace · TIFE15 de mayo de 2026, 19:02 MX
BTU-FLARE-043007ELEVATED
Verificado por 5/8 motores TIFE

LOCKBIT 3.0 EXPLOTA CVE-2026-35616 EN FORTINET FORTICLIENT EMS LATAM

Situación

Inteligencia de fuentes abiertas confirma explotación activa de vulnerabilidad crítica CVE-2026-35616 (CVSS 9.8) en Fortinet FortiClient EMS por actor con perfil consistente con LockBit 3.0. La falla permite ejecución remota de código sin autenticación en sistemas de gestión centralizada. CISA incorporó la vulnerabilidad al catálogo KEV con deadline 6 abril 2026, indicando explotación confirmada en entornos federales.

Telemetría del SOC operativo QMA registra 62 indicadores únicos asociados con técnicas de acceso inicial y movimiento lateral. Verificación vía VirusTotal muestra detección máxima de 18 motores en artefactos relacionados. La convergencia de fuentes sugiere campaña coordinada contra infraestructuras de gestión endpoint en múltiples geografías.

FortiClient EMS es ampliamente desplegado en sectores financiero, gubernamental y telecomunicaciones en México y LATAM para administración centralizada de agentes de seguridad, convirtiendo la explotación en vector de acceso privilegiado a redes corporativas.

Indicadores verificados

TipoIndicadorVTFuenteAcciones
domainyoutubepremiumapp.com18/92AlienVault OTXVT
domainsecure-signal.com-en.io17/92AlienVault OTXVT
domainen-account.info16/92AlienVault OTXVT
domainsignin-apple.com-en-uk.co16/92AlienVault OTXVT
domainencryption-plug-in-signal.com-ae.net16/92AlienVault OTXVT
domaintelegram.com-en.io16/92AlienVault OTXVT
domainfacetime.com-en.io16/92AlienVault OTXVT
domainid-apple.com-en.io15/92AlienVault OTXVT

Contexto TIFE

Convergencia de 18 motores en VirusTotal confirma artefactos maliciosos asociados. MITRE técnicas observadas incluyen T1190 (Exploit Public-Facing Application), T1059.001 (PowerShell), T1021.001 (RDP), T1133 (External Remote Services) y T1078.001 (Default Accounts). El patrón de técnicas es consistente con TTPs históricas de LockBit 3.0 en campañas LATAM 2025-2026. Sin IOCs activos en ThreatFox sugiere operación de bajo perfil o uso de infraestructura dedicada. La inclusión en CISA KEV acelera timeline de remediación obligatoria para sectores críticos.

T1190 T1059.001 T1021.001 T1133 T1078.001 LockBit 3.0 (probable) NIST CSF

Acción recomendada

SOC: Inventario urgente FortiClient EMS expuestos, aplicar patch disponible inmediatamente, monitoreo eventos T1190/T1133. CISO: Evaluación sectorial exposición EMS, coordinación con Fortinet para parche crítico, revisión accesos administrativos centralizados. Prioridad operativa 8.4/10 requiere acción dentro 48 horas por inclusión CISA KEV.

Indicadores de Compromiso · IOC

Evidencia técnica verificada

8.5AP ScoreMetodología →
15IOCs activos
CRITICALSeveridad
CVSS 9.8Score base
CISA KEVCatálogo
1Fuentes
TipoIndicadorVTFuenteConfThreatAcciones
Domainyoutubepremiumapp.com18/92otx75%VT
Domainsecure-signal.com-en.io17/92otx75%VT
Domainen-account.info16/92otx75%VT
Domainfacetime.com-en.io16/92otx75%VT
Domaintelegram.com-en.io16/92otx75%VT
Domainencryption-plug-in-signal.com-ae.net16/92otx75%VT
Domainsignin-apple.com-en-uk.co16/92otx75%VT
Domainid-apple.com-en.io15/92otx75%VT
Domainverify-apple.com-ae.net11/92otx75%VT
Domainandroid.com-ae.net10/92otx75%VT
Domainjoin-facetime.com-ae.net10/92otx75%VT
Domaincom-ae.net9/92otx75%VT
Domainnightly.link0/92otx40%VT
SHA2562c9fbfb6a4180809f44ecea0...cec85d22otx75%VTMB
SHA2562979550f09765f36d09e4cad...ba03e8dfotx75%VTMB
MITRE ATT&CKT1190T1059.001T1021.001T1133T1078.001
ActorLockBit 3.0 (probable)
Fuentes verificadas:AlienVault OTXVirusTotal / GTI· TLP:WHITE · 2026-07-19
Los IOCs listados son indicadores públicos verificados contra múltiples fuentes. La columna VT muestra positives/total de motores antivirus en VirusTotal/GTI. AP Score refleja la prioridad operativa calculada por la metodología propietaria de QMA. No constituyen evidencia de compromiso en su infraestructura — requieren validación contra logs internos.
Scroll al inicio