📰 Informação fresquinha chegando para você!
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Os pesquisadores alertam que uma plataforma de teste de segurança de IA de código aberto recém-identificada, chamada CyberStrikeAI, foi usada pelo mesmo ator de ameaça por trás de uma campanha recente que violou centenas de firewalls Fortinet FortiGate.
No mês passado, o BleepingComputer relatou uma operação de hacking assistida por IA que comprometeu mais de 500 dispositivos FortiGate em cinco semanas. O autor da ameaça por trás desta campanha usou vários servidores, incluindo um servidor web em 212.11.64[.]250.
Em um novo relatório, o consultor sênior de ameaças da Intel da equipe Cymru, Will Thomas (também conhecido como BushidoToken), afirma que o mesmo endereço IP foi observado executando a relativamente nova plataforma de testes de segurança baseada em IA CyberStrikeAI.
Analisando os dados do NetFlow, a equipe Cymru identificou um banner de serviço "CyberStrikeAI" em execução na porta 8080 em 212.11.64[.]250 e viu as comunicações de rede entre esse IP e os dispositivos Fortinet FortiGate visados pelo agente da ameaça. A infraestrutura da campanha FortiGate foi vista pela última vez executando o CyberStrikeAI em 30 de janeiro de 2026.
O repositório GitHub da CyberStrikeAI se descreve como uma “plataforma de testes de segurança nativa de IA construída em Go” que integra mais de 100 ferramentas de segurança, um mecanismo de orquestração inteligente, funções de segurança predefinidas e um sistema de habilidades.
“Por meio do protocolo MCP nativo e de agentes de IA, ele permite automação ponta a ponta, desde comandos de conversação até descoberta de vulnerabilidades, análise de cadeia de ataque, recuperação de conhecimento e visualização de resultados – proporcionando um ambiente de teste auditável, rastreável e colaborativo para equipes de segurança”, diz a descrição do projeto. A ferramenta inclui um mecanismo de decisão de IA compatível com modelos como GPT, Claude e DeepSeek, uma interface da web protegida por senha com registro de auditoria e persistência SQLite e um painel para gerenciamento de vulnerabilidades, orquestração de tarefas e visualização da cadeia de ataques.
Suas ferramentas permitem conduzir uma cadeia de ataque completa, incluindo varredura de rede (nmap, masscan), testes de web e aplicativos (sqlmap, nikto, gobuster), estruturas de exploração (metasploit, pwntools), ferramentas de quebra de senha (hashcat, john) e estruturas de pós-exploração (mimikatz, bloodhound, impacket).
Ao combinar essas ferramentas com agentes de IA e um orquestrador, a CyberStrikeAI permite que operadores, mesmo os pouco qualificados, automatizem ataques contra alvos. A equipe Cymru alerta que mecanismos de orquestração nativos de IA como esse podem acelerar o direcionamento automatizado de dispositivos de borda expostos, incluindo firewalls e dispositivos VPN.
Os pesquisadores afirmam ter observado 21 endereços IP exclusivos executando o CyberStrikeAI entre 20 de janeiro e 26 de fevereiro de 2026, com servidores hospedados principalmente na China, Cingapura e Hong Kong. Infraestrutura adicional foi detectada nos Estados Unidos, Japão e Europa.
“À medida que os adversários adotam cada vez mais mecanismos de orquestração nativos de IA, esperamos ver um aumento na segmentação automatizada e orientada por IA de dispositivos de ponta vulneráveis, semelhante ao reconhecimento e segmentação observados de dispositivos Fortinet FortiGate”, explica Thomas.
“Num futuro próximo, os defensores devem estar preparados para um ambiente onde ferramentas como CyberStrikeAI, juntamente com outros projetos de escalonamento de privilégios assistidos por IA do desenvolvedor, como PrivHunterAI e InfiltrateX, reduzem significativamente a barreira de entrada para exploração de redes complexas.”
Os pesquisadores também examinaram o perfil do desenvolvedor CyberStrikeAI, que atende pelo pseudônimo “Ed1s0nZ”.
Com base em repositórios públicos vinculados à conta, o desenvolvedor trabalhou em ferramentas adicionais de segurança assistidas por IA, incluindo PrivHunterAI, que usa modelos de IA para detectar vulnerabilidades de escalonamento de privilégios, e InfiltrateX, uma ferramenta de verificação de escalonamento de privilégios.
De acordo com a equipe Cymru, a atividade do desenvolvedor no GitHub mostra interações com organizações anteriormente ligadas a operações cibernéticas afiliadas ao governo chinês.
Em dezembro de 2025, o desenvolvedor compartilhou CyberStrikeAI com o “Projeto Starlink” do Knownsec 404. Knownsec é uma empresa chinesa de segurança cibernética com supostas ligações com o governo chinês.
Em 5 de janeiro de 2026, o desenvolvedor mencionou o recebimento do "Programa de Recompensa de Vulnerabilidade CNNVD 2024 - Prêmio de Contribuição de Nível 2" em seu perfil do GitHub.
Acredita-se que o Banco de Dados Nacional de Vulnerabilidades da China (CNNVD) seja operado pela comunidade de inteligência da China, que supostamente o utiliza para identificar vulnerabilidades para suas operações. A equipe Cymru diz que a referência ao CNNVD foi posteriormente removida do perfil do desenvolvedor.
Os repositórios GitHub do desenvolvedor são escritos principalmente em chinês, sugerindo que se trata de um desenvolvedor que fala chinês, e a interação com organizações nacionais de segurança cibernética não seria necessariamente incomum.
Estas novas ferramentas de cibersegurança alimentadas por IA continuam a demonstrar como os serviços comerciais de IA são cada vez mais utilizados pelos agentes de ameaças para automatizar os seus ataques e, ao mesmo tempo,
No mês passado, o BleepingComputer relatou uma operação de hacking assistida por IA que comprometeu mais de 500 dispositivos FortiGate em cinco semanas. O autor da ameaça por trás desta campanha usou vários servidores, incluindo um servidor web em 212.11.64[.]250.
Em um novo relatório, o consultor sênior de ameaças da Intel da equipe Cymru, Will Thomas (também conhecido como BushidoToken), afirma que o mesmo endereço IP foi observado executando a relativamente nova plataforma de testes de segurança baseada em IA CyberStrikeAI.
Analisando os dados do NetFlow, a equipe Cymru identificou um banner de serviço "CyberStrikeAI" em execução na porta 8080 em 212.11.64[.]250 e viu as comunicações de rede entre esse IP e os dispositivos Fortinet FortiGate visados pelo agente da ameaça. A infraestrutura da campanha FortiGate foi vista pela última vez executando o CyberStrikeAI em 30 de janeiro de 2026.
O repositório GitHub da CyberStrikeAI se descreve como uma “plataforma de testes de segurança nativa de IA construída em Go” que integra mais de 100 ferramentas de segurança, um mecanismo de orquestração inteligente, funções de segurança predefinidas e um sistema de habilidades.
“Por meio do protocolo MCP nativo e de agentes de IA, ele permite automação ponta a ponta, desde comandos de conversação até descoberta de vulnerabilidades, análise de cadeia de ataque, recuperação de conhecimento e visualização de resultados – proporcionando um ambiente de teste auditável, rastreável e colaborativo para equipes de segurança”, diz a descrição do projeto. A ferramenta inclui um mecanismo de decisão de IA compatível com modelos como GPT, Claude e DeepSeek, uma interface da web protegida por senha com registro de auditoria e persistência SQLite e um painel para gerenciamento de vulnerabilidades, orquestração de tarefas e visualização da cadeia de ataques.
Suas ferramentas permitem conduzir uma cadeia de ataque completa, incluindo varredura de rede (nmap, masscan), testes de web e aplicativos (sqlmap, nikto, gobuster), estruturas de exploração (metasploit, pwntools), ferramentas de quebra de senha (hashcat, john) e estruturas de pós-exploração (mimikatz, bloodhound, impacket).
Ao combinar essas ferramentas com agentes de IA e um orquestrador, a CyberStrikeAI permite que operadores, mesmo os pouco qualificados, automatizem ataques contra alvos. A equipe Cymru alerta que mecanismos de orquestração nativos de IA como esse podem acelerar o direcionamento automatizado de dispositivos de borda expostos, incluindo firewalls e dispositivos VPN.
Os pesquisadores afirmam ter observado 21 endereços IP exclusivos executando o CyberStrikeAI entre 20 de janeiro e 26 de fevereiro de 2026, com servidores hospedados principalmente na China, Cingapura e Hong Kong. Infraestrutura adicional foi detectada nos Estados Unidos, Japão e Europa.
“À medida que os adversários adotam cada vez mais mecanismos de orquestração nativos de IA, esperamos ver um aumento na segmentação automatizada e orientada por IA de dispositivos de ponta vulneráveis, semelhante ao reconhecimento e segmentação observados de dispositivos Fortinet FortiGate”, explica Thomas.
“Num futuro próximo, os defensores devem estar preparados para um ambiente onde ferramentas como CyberStrikeAI, juntamente com outros projetos de escalonamento de privilégios assistidos por IA do desenvolvedor, como PrivHunterAI e InfiltrateX, reduzem significativamente a barreira de entrada para exploração de redes complexas.”
Os pesquisadores também examinaram o perfil do desenvolvedor CyberStrikeAI, que atende pelo pseudônimo “Ed1s0nZ”.
Com base em repositórios públicos vinculados à conta, o desenvolvedor trabalhou em ferramentas adicionais de segurança assistidas por IA, incluindo PrivHunterAI, que usa modelos de IA para detectar vulnerabilidades de escalonamento de privilégios, e InfiltrateX, uma ferramenta de verificação de escalonamento de privilégios.
De acordo com a equipe Cymru, a atividade do desenvolvedor no GitHub mostra interações com organizações anteriormente ligadas a operações cibernéticas afiliadas ao governo chinês.
Em dezembro de 2025, o desenvolvedor compartilhou CyberStrikeAI com o “Projeto Starlink” do Knownsec 404. Knownsec é uma empresa chinesa de segurança cibernética com supostas ligações com o governo chinês.
Em 5 de janeiro de 2026, o desenvolvedor mencionou o recebimento do "Programa de Recompensa de Vulnerabilidade CNNVD 2024 - Prêmio de Contribuição de Nível 2" em seu perfil do GitHub.
Acredita-se que o Banco de Dados Nacional de Vulnerabilidades da China (CNNVD) seja operado pela comunidade de inteligência da China, que supostamente o utiliza para identificar vulnerabilidades para suas operações. A equipe Cymru diz que a referência ao CNNVD foi posteriormente removida do perfil do desenvolvedor.
Os repositórios GitHub do desenvolvedor são escritos principalmente em chinês, sugerindo que se trata de um desenvolvedor que fala chinês, e a interação com organizações nacionais de segurança cibernética não seria necessariamente incomum.
Estas novas ferramentas de cibersegurança alimentadas por IA continuam a demonstrar como os serviços comerciais de IA são cada vez mais utilizados pelos agentes de ameaças para automatizar os seus ataques e, ao mesmo tempo,
#samirnews #samir #news #boletimtec #ferramenta #cyberstrikeai #adotada #por #hackers #para #ataques #baseados #em #ia
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário