O grupo responsável pela recente campanha de ataques assistidos por inteligência artificial (IA), direcionada a dispositivos Fortinet FortiGate, utilizou uma plataforma de testes de segurança open-source, nativa em IA, chamada CyberStrikeAI para executar as ofensivas.
A descoberta foi feita pela equipe da Team Cymru, que identificou o uso da ferramenta após analisar o endereço IP ("212.11.64[.]250") empregado pelo ator de ameaça de origem russa para realizar varreduras automatizadas em massa em busca de dispositivos vulneráveis.
Desenvolvida por um programador baseado na China, que, segundo avaliação, tem ligações com o governo chinês, a CyberStrikeAI é uma ferramenta open-source de segurança ofensiva baseada em IA.
O pesquisador de segurança Will Thomas, conhecido como @BushidoToken, destacou essas conexões em sua análise.
A atividade impulsionada por IA veio à tona no mês passado, quando a Amazon Threat Intelligence relatou a detecção de um atacante desconhecido que mirava sistematicamente dispositivos FortiGate utilizando serviços de IA generativa, como Anthropic Claude e DeepSeek, comprometendo mais de 600 aparelhos em 55 países.
Segundo a descrição no repositório do GitHub, a CyberStrikeAI foi desenvolvida na linguagem Go e integra mais de 100 ferramentas de segurança para facilitar a identificação de vulnerabilidades, análise da cadeia de ataque, recuperação de conhecimento e visualização de resultados.
O projeto é mantido por um desenvolvedor chinês que utiliza o pseudônimo online Ed1s0nZ.
A Team Cymru observou 21 endereços IP únicos executando a CyberStrikeAI entre 20 de janeiro e 26 de fevereiro de 2026.
Os servidores estavam principalmente hospedados na China, Singapura e Hong Kong, com outras instâncias detectadas nos Estados Unidos, Japão e Suíça.
Além do CyberStrikeAI, o perfil Ed1s0nZ publicou diversas outras ferramentas que indicam interesse em exploração e jailbreaking de modelos de IA, como:
- watermark-tool: para inserção de marcas d’água digitais invisíveis em documentos;
- banana_blackmail: ransomware desenvolvido em Golang;
- PrivHunterAI: ferramenta em Golang que utiliza Kimi, DeepSeek e modelos GPT para detectar vulnerabilidades de escalonamento de privilégios;
- ChatGPTJailbreak: com instruções para burlar restrições do OpenAI ChatGPT e ativar modos como Do Anything Now (DAN) ou Developer Mode;
- InfiltrateX: scanner em Golang para detecção de vulnerabilidades de escalonamento de privilégios;
- VigilantEye: ferramenta que monitora vazamentos de informações sensíveis, como números de telefone e documentos de identidade, enviando alertas via bot do WeChat Work em caso de potenciais breaches.
Will Thomas ressaltou que as atividades no GitHub indicam que Ed1s0nZ interage com organizações que apoiam operações cibernéticas possivelmente patrocinadas pelo governo chinês, incluindo empresas privadas chinesas com ligações conhecidas ao Ministério de Segurança do Estado (MSS).
Uma dessas empresas é a KnownSec 404, fornecedora de segurança da China que sofreu um grande vazamento no ano passado, expondo mais de 12 mil documentos internos.
O incidente revelou dados de funcionários, clientes governamentais, ferramentas de hackers e grandes volumes de dados roubados, incluindo registros de chamadas da Coreia do Sul, informações sobre infraestrutura crítica de Taiwan e detalhes de operações cibernéticas em andamento.
Análise publicada pela DomainTools em janeiro classificou a KnownSec 404 como um "contratante cibernético alinhado ao Estado", capaz de apoiar objetivos de segurança nacional, inteligência e militares chineses.
A empresa teria uma organização paralela que atua em favor do Exército de Libertação Popular (PLA), do MSS e de outras estruturas de segurança chinesas.
Ferramentas como ZoomEye e Critical Infrastructure Target Library fornecem à China um sistema global de reconhecimento que mapeia milhões de IPs, domínios e organizações estrangeiras por setor, localização geográfica e valor estratégico.
Recentemente, o desenvolvedor Ed1s0nZ foi visto removendo referências a um prêmio de contribuição nível 2 à China National Vulnerability Database of Information Security (CNNVD) em seu perfil do GitHub.
Ele também afirmou que todo o material compartilhado no repositório é "puramente para pesquisa e aprendizado".
Pesquisas publicadas pela Bitsight no mês passado indicam que a China mantém duas bases de dados de vulnerabilidades: a CNNVD, sob supervisão do Ministério de Segurança do Estado, e a CNVD, controlada pela CNCERT.
Análises anteriores da Recorded Future apontam que a CNNVD demora mais para publicar vulnerabilidades com pontuação CVSS mais alta.
Segundo Thomas, a recente tentativa do desenvolvedor em apagar menções à CNNVD pode ser um esforço consciente para ocultar ligações com o governo chinês, visando preservar a viabilidade operacional da ferramenta à medida que ela ganha popularidade.
O avanço do CyberStrikeAI representa uma evolução preocupante na proliferação de ferramentas ofensivas potencializadas por IA.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...