Tyrėjai perspėja, kad naujai identifikuota atvirojo kodo AI saugumo testavimo platforma, vadinama CyberStrikeAI, buvo naudojama to paties grėsmės veikėjo, kuris neseniai vykdė kampaniją, kuri pažeidė šimtus Fortinet FortiGate ugniasienės.
Praėjusį mėnesį „BleepingComputer“ pranešė apie AI padedamą įsilaužimo operaciją, kurios metu per penkias savaites buvo pažeista daugiau nei 500 „FortiGate“ įrenginių. Šios kampanijos grėsmės veikėjas naudojo kelis serverius, įskaitant žiniatinklio serverį, kurio numeris 212.11.64(.)250.
Naujoje ataskaitoje „Team Cymru“ vyresnysis „Intel“ grėsmių patarėjas Willas Thomas (dar žinomas kaip „BushidoToken“) teigia, kad tas pats IP adresas buvo pastebėtas naudojant palyginti naują „CyberStrikeAI“ AI varomą saugos testavimo platformą.
Analizuodama „NetFlow“ duomenis, „Team Cymru“ nustatė „CyberStrikeAI“ paslaugos reklamjuostę, veikiančią 8080 prievade 212.11.64(.)250, ir pamatė tinklo ryšį tarp to IP ir „Fortinet FortiGate“ įrenginių, į kuriuos taikė grėsmės veikėjas. „FortiGate“ kampanijos infrastruktūra paskutinį kartą buvo parodyta „CyberStrikeAI“ 2026 m. sausio 30 d.
„CyberStrikeAI“ „GitHub“ saugykla apibūdina save kaip „Go sukurtą AI saugos testavimo platformą“, kurioje yra daugiau nei 100 saugos įrankių, išmanusis orkestravimo variklis, iš anksto nustatyti saugos vaidmenys ir įgūdžių sistema.
„Naudodamas vietinį MCP protokolą ir AI agentus, jis leidžia visiškai automatizuoti nuo pokalbio komandų iki pažeidžiamumo aptikimo, atakų grandinės analizės, žinių gavimo ir rezultatų vizualizavimo – tai užtikrina audituojamą, atsekamą ir bendradarbiaujančią testavimo aplinką saugos komandoms“, – rašoma projekto aprašyme. Įrankį sudaro AI sprendimų variklis, suderinamas su tokiais modeliais kaip GPT, Claude ir DeepSeek, slaptažodžiu apsaugota žiniatinklio vartotojo sąsaja su audito registravimu ir SQLite patvarumu bei pažeidžiamumo valdymo, užduočių organizavimo ir atakų grandinės vizualizavimo prietaisų skydelis.
Įrankiai leidžia vykdyti visą atakų grandinę, įskaitant tinklo nuskaitymą (nmap, masscan), žiniatinklio ir programų testavimą (sqlmap, nikto, gobuster), išnaudojimo sistemas (metasploit, pwntools), slaptažodžių nulaužimo įrankius (hashcat, john) ir sistemas po išnaudojimo (mimikatz, bloodhound, im).
Sujungus šiuos įrankius su AI agentais ir orkestru, „CyberStrikeAI“ leidžia operatoriams, net ir žemos kvalifikacijos, automatizuoti atakas prieš taikinius. „Team Cymru“ įspėja, kad tokie DI orkestravimo varikliai, kaip šis, gali pagreitinti automatinį nukreipimą į atvirus krašto įrenginius, įskaitant ugniasienes ir VPN įrenginius.
Tyrėjai teigia, kad nuo 2026 m. sausio 20 d. iki vasario 26 d. jie stebėjo 21 unikalų IP adresą, kuriame veikia CyberStrikeAI, o serveriai daugiausia buvo priglobti Kinijoje, Singapūre ir Honkonge. Papildoma infrastruktūra buvo pastebėta JAV, Japonijoje ir Europoje.
„Kadangi priešininkai vis dažniau naudojasi dirbtinio intelekto orkestravimo varikliais, tikimės, kad padaugės automatinio, dirbtinio intelekto pagrįsto pažeidžiamų kraštinių įrenginių taikymo, panašiai kaip stebimas Fortinet FortiGate įrenginių žvalgymas ir taikymas“, – aiškina Thomas.
„Netolimoje ateityje gynėjai turi būti pasirengę aplinkai, kurioje tokie įrankiai kaip CyberStrikeAI, kartu su kitais kūrėjo dirbtiniu intelektu remiamais privilegijų eskalavimo projektais, tokiais kaip PrivHunterAI ir InfiltrateX, žymiai sumažina kliūtis patekti į sudėtingą tinklo eksploataciją.
Tyrėjai taip pat ištyrė „CyberStrikeAI“ kūrėjo, kuris vadinasi „Ed1s0nZ“, profilį.
Remdamasis su paskyra susietomis viešosiomis saugyklomis, kūrėjas dirbo su papildomais AI padedamais saugos įrankiais, įskaitant „PrivHunterAI“, kuris naudoja AI modelius privilegijų didinimo pažeidžiamumui aptikti, ir „InfiltrateX“ – privilegijų eskalavimo nuskaitymo įrankį.
Anot „Team Cymru“, kūrėjo „GitHub“ veikla rodo sąveiką su organizacijomis, anksčiau susietomis su Kinijos vyriausybe susijusiomis kibernetinėmis operacijomis.
2025 m. gruodžio mėn. kūrėjas pasidalijo CyberStrikeAI su Knownsec 404 „Starlink Project“. Knownsec yra Kinijos kibernetinio saugumo įmonė, turinti tariamų ryšių su Kinijos vyriausybe.
2026 m. sausio 5 d. kūrėjas savo „GitHub“ profilyje paminėjo, kad gavo „CNNVD 2024 pažeidžiamumo apdovanojimo programą – 2 lygio įnašo apdovanojimą“.
Manoma, kad Kinijos nacionalinę pažeidžiamumo duomenų bazę (CNNVD) valdo Kinijos žvalgybos bendruomenė, kuri tariamai naudoja ją savo operacijų pažeidžiamumui nustatyti. Team Cymru teigia, kad nuoroda į CNNVD vėliau buvo pašalinta iš kūrėjo profilio.
Kūrėjo „GitHub“ saugyklos daugiausia parašytos kinų kalba, o tai rodo, kad jie yra kiniškai kalbantys kūrėjai, o sąveika su vietinėmis kibernetinio saugumo organizacijomis nebūtinai būtų neįprasta.
Šios naujos dirbtinio intelekto pagrindu sukurtos kibernetinio saugumo priemonės ir toliau demonstruoja, kaip grėsmės subjektai vis dažniau naudoja komercines AI paslaugas, kad automatizuotų savo atakas ir tuo pačiu sumažintų patekimo į rinką kliūtis.
Praėjusį mėnesį „Google“ taip pat pranešė, kad grėsmės veikėjai piktnaudžiauja „Gemini AI“ visuose kibernetinių atakų etapuose, suteikdami galias visų lygių grėsmės veikėjams.
Kenkėjiškos programos tampa išmanesnės. „Red Report 2026“ atskleidžia, kaip naujos grėsmės naudoja matematiką, kad aptiktų smėlio dėžes ir pasislėptų matomoje vietoje.
Atsisiųskite mūsų 1,1 milijono kenkėjiškų pavyzdžių analizę, kad sužinotumėte 10 geriausių metodų ir sužinotumėte, ar jūsų saugos paketas yra apakintas.
