Hackers estão cada vez mais utilizando um novo framework de offensive security impulsionado por IA chamado HexStrike-AI em ataques reais para explorar vulnerabilidades n-day recém-divulgadas.
Esta atividade foi reportada pela CheckPoint Research, que observou um aumento significativo nas discussões na dark web sobre o HexStrike-AI, associado à rápida weaponization de vulnerabilidades recentes do Citrix, incluindo
CVE-2025-7775
,
CVE-2025-7776
e
CVE-2025-8424
.
De acordo com dados da ShadowServer Foundation, quase 8.000 endpoints ainda permanecem vulneráveis ao
CVE-2025-7775
até 2 de setembro de 2025, uma redução considerável em relação às 28.000 da semana anterior.
O HexStrike-AI é uma ferramenta legítima de red teaming criada pelo pesquisador de cibersegurança Muhammad Osama, que permite a integração de agentes de IA para executar autonomamente mais de 150 ferramentas de cybersecurity, com o objetivo de realizar penetration testing automatizado e descoberta de vulnerabilidades.
"HexStrike AI opera com interação human-in-the-loop por meio de LLMs externos via MCP, criando um ciclo contínuo de prompts, análise, execução e feedback", conforme descrição do próprio criador.
O client do HexStrike-AI possui lógica de retry e manejo de recovery para mitigar falhas em qualquer etapa individual de suas operações complexas.
Em vez de travar, ele automaticamente tenta novamente ou ajusta sua configuração até completar a operação com sucesso.
A ferramenta está disponível como open-source no GitHub há um mês, onde já acumulou 1.800 stars e mais de 400 forks.
Infelizmente, ela também chamou a atenção de hackers, que começaram a usá-la em seus ataques.
Segundo a CheckPoint, hackers passaram a discutir o uso da ferramenta em fóruns de hacking, compartilhando como implantar o HexStrike-AI para explorar as vulnerabilidades zero-day do Citrix NetScaler ADC e Gateway dentro de poucas horas após sua divulgação.
Relatos indicam que atores maliciosos utilizaram o framework para obter remote code execution não autenticado por meio do
CVE-2025-7775
e, em seguida, implantar webshells nos appliances comprometidos, com alguns chegando a vender instâncias NetScaler invadidas.
A CheckPoint acredita que é provável que os atacantes tenham usado o novo framework de pentesting para automatizar toda a cadeia de exploração, abrangendo scan de instâncias vulneráveis, criação de exploits, entrega de payloads e manutenção de persistência.
Embora a confirmação direta do envolvimento do HexStrike-AI nesses ataques ainda seja incerta, esse nível de automação pode reduzir o tempo de exploração de vulnerabilidades n-day de vários dias para poucos minutos.
Esse avanço deixaria administradores de sistema com uma janela de patching já pequena e um tempo ainda menor antes do início das investidas.
"A janela entre a divulgação e a exploração massiva diminui drasticamente", comentou a Check Point sobre uma vulnerabilidade recente do Citrix.
O
CVE-2025-7775
já está sendo explorado em ambiente real, e com o HexStrike-AI, o volume de ataques deve aumentar ainda mais nos próximos dias.
Embora a aplicação rápida de patches continue sendo essencial, essa mudança de paradigma trazida por frameworks de ataque movidos a IA torna ainda mais importante manter uma postura de segurança robusta e abrangente.
A Check Point recomenda que os defensores priorizem o alerta precoce através de threat intelligence, defesas guiadas por IA e detecção adaptativa.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...