گروه باج‌افزاری Qilin، که با نام Phantom Mantis نیز شناخته می‌شود، اخیراً به فهرست مهاجمان سوءاستفاده‌کننده از آسیب‌پذیری‌های حیاتی Fortinet پیوسته است. طبق گزارش شرکت PRODAFT، این حملات در بازه زمانی می تا ژوئن ۲۰۲۵ با هدف نفوذ به دستگاه‌های آسیب‌پذیر FortiGate از جمله باگ‌های CVE-2024-21762 و CVE-2024-55591 انجام شده‌اند. این نقص‌ها امکان عبور از احراز هویت و اجرای کد از راه دور را برای مهاجم فراهم می‌کنند.

گروه Qilin فعالیت خود را در سال ۲۰۲۲ تحت مدل Ransomware-as-a-Service با نام Agenda آغاز کرد و تاکنون مسئولیت حمله به بیش از ۳۱۰ قربانی را در سایت نشت خود بر عهده گرفته است. در میان قربانیان این گروه، سازمان‌های معتبری چون Yangfeng، Lee Enterprises، خدمات دادگاه ایالتی استرالیا و شرکت Synnovis قرار دارند. حمله به Synnovis باعث لغو صدها نوبت و عمل جراحی در بیمارستان‌های NHS لندن شد.

طبق تحلیل PRODAFT، هدف اصلی فعلی این گروه کشور‌های اسپانیایی‌زبان است، اما انتظار می‌رود که دامنه این حملات جهانی شود. این کمپین با ترکیب خودکارسازی و هدف‌گیری فرصت‌طلبانه انجام می‌شود.

CVE-2024-55591 پیش‌تر نیز به‌عنوان یک روز صفر توسط دیگر گروه‌ها برای نفوذ به فایروال‌های FortiGate مورد استفاده قرار گرفته بود. آسیب‌پذیری CVE-2024-21762 نیز در فوریه وصله شد، اما تا مارس ۲۰۲۵ بیش از ۱۵۰,۰۰۰ دستگاه هنوز در برابر آن آسیب‌پذیر باقی مانده بودند.

در سال‌های اخیر، آسیب‌پذیری‌های Fortinet اغلب به عنوان نقاط ورود در کمپین‌های جاسوسی سایبری و باج‌افزاری استفاده شده‌اند. به‌عنوان نمونه، گروه چینی Volt Typhoon در فوریه با سوءاستفاده از دو نقص SSL VPN در FortiOS، بدافزار Coathanger را برای ایجاد در پشتی در شبکه وزارت دفاع هلند مستقر کرده بود.