Алатката CyberStrikeAI се користи од хакери за напади со вештачка интелигенција

Истражувачите предупредуваат дека новооткриена open-source AI платформа за безбедносно тестирање наречена CyberStrikeAI била користена од истиот заканувачки актер што стои зад неодамнешната кампања во која беа компромитирани стотици Fortinet FortiGate firewall уреди.

Минатиот месец, BleepingComputer извести за AI-поддржана хакерска операција што компромитираше повеќе од 500 FortiGate уреди во период од пет недели. Заканувачкиот актер зад оваа кампања користел повеќе сервери, вклучувајќи веб-сервер на 212.11.64[.]250.

Во нов извештај, Senior Threat Intel Advisor за Team Cymru, Will Thomas (познат како BushidoToken), вели дека истата IP адреса била забележана како ја извршува релативно новата CyberStrikeAI платформа за безбедносно тестирање напојувана со AI.

Со анализа на NetFlow податоци, Team Cymru идентификувал „CyberStrikeAI“ service banner што работел на порт 8080 на 212.11.64[.]250 и забележал мрежна комуникација помеѓу таа IP адреса и Fortinet FortiGate уредите што биле цел на напаѓачот. Инфраструктурата поврзана со FortiGate кампањата последен пат била забележана како извршува CyberStrikeAI на 30 јануари 2026 година.

GitHub репозиториумот на CyberStrikeAI се опишува како „AI-native платформа за безбедносно тестирање изградена во Go“ која интегрира над 100 безбедносни алатки, интелигентен оркестрационен механизам, предефинирани безбедносни улоги и систем на вештини.

„Преку нативен MCP протокол и AI агенти, овозможува end-to-end автоматизација од разговорни команди до откривање ранливости, анализа на синџир на напади, пребарување на знаење и визуелизација на резултати — испорачувајќи ревидирачка, следлива и колаборативна средина за тестирање за безбедносни тимови,“ се наведува во описот на проектот.

Алатката вклучува AI decision engine компатибилен со модели како GPT, Claude и DeepSeek, веб-интерфејс заштитен со лозинка со audit logging и SQLite складирање, како и контролна табла за управување со ранливости, оркестрација на задачи и визуелизација на синџир на напади.

Нејзиниот сет на алатки ѝ овозможува да изврши целосен синџир на напад, вклучувајќи мрежно скенирање (nmap, masscan), веб и апликациско тестирање (sqlmap, nikto, gobuster), рамки за експлоатација (metasploit, pwntools), алатки за пробивање лозинки (hashcat, john) и пост-експлоатациски рамки (mimikatz, bloodhound, impacket).

Со комбинирање на овие алатки со AI агенти и оркестратор, CyberStrikeAI им овозможува на операторите, дури и на оние со ниско ниво на вештини, да автоматизираат напади врз цели. Team Cymru предупредува дека вакви AI-native оркестрациони механизми можат да го забрзаат автоматизираното таргетирање на изложени edge уреди, вклучувајќи firewall-и и VPN апарати.

Истражувачите велат дека забележале 21 уникатна IP адреса што извршувале CyberStrikeAI помеѓу 20 јануари и 26 февруари 2026 година, при што серверите главно биле хостирани во Кина, Сингапур и Хонг Конг. Дополнителна инфраструктура била забележана во САД, Јапонија и Европа.

„Како што противниците сè повеќе прифаќаат AI-native оркестрациони механизми, очекуваме пораст на автоматизирано, AI-управувано таргетирање на ранливи edge уреди, слично на забележаното извидување и таргетирање на Fortinet FortiGate уреди,“ објаснува Thomas.

„Во блиска иднина, бранителите мора да бидат подготвени за средина каде алатки како CyberStrikeAI, заедно со другите AI-поддржани проекти за ескалација на привилегии на развивачот, како PrivHunterAI и InfiltrateX, значително ја намалуваат бариерата за влез во комплексна мрежна експлоатација.“

Истражувачите исто така го анализирале профилот на развивачот на CyberStrikeAI, кој го користи алијасот „Ed1s0nZ.“

Врз основа на јавните репозиториуми поврзани со профилот, развивачот работел и на други AI-поддржани безбедносни алатки, вклучувајќи PrivHunterAI, кој користи AI модели за детекција на ранливости за ескалација на привилегии, и InfiltrateX, алатка за скенирање за ескалација на привилегии.

Според Team Cymru, GitHub активноста на развивачот покажува интеракции со организации кои претходно биле поврзани со сајбер-операции асоцирани со кинеската влада.

Во декември 2025 година, развивачот го споделил CyberStrikeAI со „Starlink Project“ на Knownsec 404. Knownsec е кинеска сајбер-безбедносна компанија со наводни врски со кинеската влада.

На 5 јануари 2026 година, развивачот спомнал дека добил „CNNVD 2024 Vulnerability Reward Program – Level 2 Contribution Award“ на својот GitHub профил.

China National Vulnerability Database (CNNVD) се смета дека е управувана од кинеската разузнавачка заедница, која наводно ја користи за идентификување ранливости за свои операции. Team Cymru наведува дека референцата кон CNNVD подоцна била отстранета од профилот на развивачот.

GitHub репозиториумите на развивачот главно се напишани на кинески јазик, што сугерира дека станува збор за кинеско-говорен развивач, а интеракцијата со домашни сајбер-безбедносни организации не би била нужно невообичаена.

Овие нови AI-напојувани сајбер-безбедносни алатки продолжуваат да демонстрираат како комерцијалните AI услуги сè повеќе се користат од заканувачки актери за автоматизација на нивните напади, додека во исто време ја намалуваат бариерата за влез.

Минатиот месец, Google исто така објави дека заканувачките актери го злоупотребуваат Gemini AI во сите фази од сајбер-нападите, зајакнувајќи ги способностите на актери со различно ниво на вештини.

Извори:

• Bleeping Computer – CyberStrikeAI tool adopted by hackers for AI-powered attacks
  Bleeping Computer