Pesquisadores alertam que a plataforma de teste de segurança baseada em IA de código aberto, chamada CyberStrikeAI, está sendo usada pelo mesmo grupo responsável por uma recente campanha que comprometeu centenas de firewalls Fortinet FortiGate.
Em reportagem do mês passado, foi revelado uma operação de hacking assistida por IA que invadiu mais de 500 dispositivos FortiGate em apenas cinco semanas.
O grupo por trás do ataque utilizou diversos servidores, incluindo um servidor web no endereço IP 212.11.64[.]250.
Em um novo relatório, Will Thomas, Senior Threat Intel Advisor da Team Cymru, conhecido como BushidoToken, identificou que esse mesmo IP estava executando a plataforma CyberStrikeAI, uma ferramenta relativamente nova que usa inteligência artificial para testes de segurança.
A análise de dados NetFlow permitiu à Team Cymru detectar o banner de serviço "CyberStrikeAI" ativo na porta 8080 desse IP, além de observar comunicações entre o servidor e os dispositivos FortiGate alvo da campanha.
A infraestrutura responsável pelo ataque foi monitorada usando o CyberStrikeAI pela última vez em 30 de janeiro de 2026.
O repositório do CyberStrikeAI no GitHub se apresenta como uma "plataforma nativa de segurança baseada em IA, desenvolvida em Go", que integra mais de 100 ferramentas de segurança, possui um motor inteligente de orquestração, funções predefinidas e um sistema de habilidades.
Segundo a descrição do projeto, "por meio do protocolo nativo MCP e agentes de IA, a plataforma viabiliza automação completa, desde comandos conversacionais até descoberta de vulnerabilidades, análise da cadeia de ataque, recuperação de conhecimento e visualização de resultados — criando um ambiente de testes auditável, rastreável e colaborativo para equipes de segurança." Entre seus recursos estão um motor de decisão compatível com modelos como GPT, Claude e DeepSeek; interface web protegida por senha com registro de auditoria e persistência em SQLite; além de um dashboard para gerenciamento de vulnerabilidades, orquestração de tarefas e visualização da cadeia de ataque.
A ferramenta realiza toda a cadeia de ataque, incluindo varredura de redes (nmap, masscan), testes web e de aplicações (sqlmap, nikto, gobuster), frameworks de exploração (metasploit, pwntools), ferramentas de quebra de senhas (hashcat, john) e frameworks de pós-exploração (mimikatz, bloodhound, impacket).
Ao integrar essas ferramentas com agentes de IA e o orquestrador, o CyberStrikeAI permite que operadores, mesmo com pouca experiência, automatizem ataques contra seus alvos.
A Team Cymru alerta que motores de orquestração nativos em IA como esse podem acelerar ataques automatizados a dispositivos expostos na borda da rede, como firewalls e appliances VPN.
Os pesquisadores identificaram 21 endereços IP únicos rodando CyberStrikeAI entre 20 de janeiro e 26 de fevereiro de 2026, com servidores principalmente localizados na China, Singapura e Hong Kong.
Infraestruturas adicionais foram encontradas nos Estados Unidos, Japão e Europa.
"À medida que os adversários adotam cada vez mais motores de orquestração nativos em IA, esperamos um aumento na automação e no direcionamento baseado em IA de dispositivos vulneráveis na borda, semelhante ao reconhecimento e à segmentação observados em aparelhos Fortinet FortiGate", afirma Thomas.
"Em um futuro próximo, as equipes de defesa precisam estar preparadas para um cenário no qual ferramentas como CyberStrikeAI, junto com outros projetos do desenvolvedor que auxiliam em escaladas de privilégio, como PrivHunterAI e InfiltrateX, reduzam significativamente a barreira para explorações complexas em redes."
A equipe de pesquisa também investigou o perfil do desenvolvedor do CyberStrikeAI, que se identifica pelo pseudônimo "Ed1s0nZ".
A partir dos repositórios públicos vinculados a essa conta, sabe-se que ele trabalhou em outras ferramentas de segurança assistidas por IA, incluindo o PrivHunterAI, que detecta vulnerabilidades de escalonamento de privilégio com auxílio de modelos de inteligência artificial, e o InfiltrateX, uma ferramenta de escaneamento para esse tipo de ataque.
Segundo a Team Cymru, a atividade do desenvolvedor no GitHub indica interações com organizações anteriormente associadas a operações cibernéticas ligadas ao governo chinês.
Em dezembro de 2025, o criador compartilhou o CyberStrikeAI com o "Starlink Project" da Knownsec 404, uma empresa chinesa de segurança cibernética supostamente vinculada ao governo da China.
Em 5 de janeiro de 2026, ele mencionou em seu perfil no GitHub ter recebido o "CNNVD 2024 Vulnerability Reward Program – Level 2 Contribution Award."
O China National Vulnerability Database (CNNVD) é uma base de dados nacional administrada, acredita-se, pela comunidade de inteligência chinesa, que supostamente a utiliza para identificar vulnerabilidades em prol de suas operações.
A Team Cymru relata que essa menção ao CNNVD foi posteriormente removida do perfil do desenvolvedor.
Os repositórios do desenvolvedor são majoritariamente escritos em chinês, o que sugere fluência no idioma e indica que seu relacionamento com organizações locais de cibersegurança não seria incomum.
Essas novas ferramentas de segurança baseadas em IA exemplificam como serviços comerciais de inteligência artificial vêm sendo cada vez mais usados por atores maliciosos para automatizar ataques, reduzindo a complexidade necessária para seu desenvolvimento.
No mês passado, o Google também divulgou que ameaçadores exploram o Gemini AI em todas as fases dos ataques cibernéticos, ampliando as capacidades de agentes com diferentes níveis de habilidade.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...