Изследователи предупреждават, че новооткритата отворена AI платформа за тестване на сигурността CyberStrikeAI е използвана от същия заподозрян, който преди месец компрометира над 500 устройства Fortinet FortiGate за пет седмици.

Инфраструктурата за атаката е идентифицирана чрез NetFlow анализ, като е наблюдаван IP адрес 212.11.64[.]250, на който е работил CyberStrikeAI, и комуникации с целевите FortiGate устройства.

Какво представлява CyberStrikeAI

Проектът се описва като:

• AI-native security testing platform, написан на Go

• Интегрира над 100 инструмента за сигурност

• Разполага с интелигентен оркестратор, предварително дефинирани роли и система за умения

• Позволява пълна автоматизация на атакуващия процес: от командни запитвания на естествен език до откриване на уязвимости, анализ на атаки и визуализация на резултатите

Инструментариумът включва:

• Network scanning: nmap, masscan

• Web и application testing: sqlmap, nikto, gobuster

• Exploitation frameworks: metasploit, pwntools

• Password cracking: hashcat, john

• Post-exploitation: mimikatz, bloodhound, impacket

Съчетавайки тези инструменти с AI агенти и оркестратор, CyberStrikeAI позволява на дори неопитни оператори да провеждат сложни атаки срещу мрежови цели и устройства на периферията (edge devices).

Разпространение на платформата

• Между 20 януари и 26 февруари 2026 са наблюдавани 21 уникални IP адреса, използващи CyberStrikeAI

• Основно разположени в Китай, Сингапур и Хонконг, допълнително в САЩ, Япония и Европа

Team Cymru предупреждава, че подобни AI-оркестратори значително понижават бариерата за вход при сложни мрежови експлоатации и автоматизират целенасочено сканиране на уязвими устройства.

Профил на разработчика

• Псевдоним: Ed1s0nZ

• Разработвал допълнителни AI-инструменти за сигурност:

  • PrivHunterAI – откриване на уязвимости за ескалация на привилегии

  • InfiltrateX – сканиране за ескалация на привилегии

• Свързан с организации, предполагаемо свързани с китайски правителствени операции

• На GitHub е споделял CyberStrikeAI с Knownsec 404 “Starlink Project”

• Получил награда от CNNVD 2024 Vulnerability Reward Program – Level 2 Contribution, по-късно премахната от профила му

Наблюденията демонстрират как AI-базирани оркестратори като CyberStrikeAI позволяват:

• Автоматизация на всички етапи на кибератаките

• Използване от оператори с ниски умения

• Масово таргетиране на уязвими edge устройства и VPN/Firewall инфраструктура

Тези тенденции следват глобалната практика, при която AI се използва от заподозрени за ускоряване на сложни атаки, като Google наскоро отчете подобни злоупотреби с Gemini AI за различни етапи на кибератаките.