Los atacantes detrás de la campaña asistida por inteligencia artificial (IA) recientemente revelada dirigida a los dispositivos FortiGate de Fortinet aprovecharon una plataforma de prueba de seguridad nativa de IA de código abierto llamada CyberStrikeAI para llevar a cabo el ataque.
Este nuevo hallazgo, presentado por Team Cymru, detectó el uso de una dirección IP (212.11.64(.)250) utilizada por un presunto atacante de habla rusa para realizar un escaneo masivo automatizado de dispositivos vulnerables.
CyberStrikeAI es «una herramienta de seguridad ofensiva (OST) de inteligencia artificial (IA) de código abierto desarrollada por un desarrollador con sede en China que creemos que tiene alguna conexión con el gobierno chino», dijo el investigador de seguridad Will Thomas (también conocido como @BushidoToken).
Los detalles de la actividad impulsada por la IA se revelaron el mes pasado cuando Amazon Threat Intelligence anunció que detectó un atacante desconocido que utilizaba servicios de inteligencia artificial (IA) generativa como Anthropic Claude y DeepSeek para atacar sistemáticamente dispositivos FortiGate y comprometer más de 600 dispositivos en 55 países.
Según la descripción del repositorio de GitHub, CyberStrikeAI está construido con Go e integra más de 100 herramientas de seguridad para permitir el descubrimiento de vulnerabilidades, el análisis de la cadena de ataques, la captura de conocimientos y la visualización de resultados. Lo mantiene un desarrollador chino con el alias en línea Ed1s0nZ.
Team Cymru anunció que observó 21 direcciones IP únicas ejecutando CyberStrikeAI en servidores alojados principalmente en China, Singapur y Hong Kong entre el 20 de enero y el 26 de febrero de 2026. También se descubrieron servidores adicionales asociados con esta herramienta en Estados Unidos, Japón y Suiza.
Además de albergar CyberStrikeAI, la cuenta Ed1s0nZ ha expuesto varias otras herramientas que muestran interés en explotar y liberar modelos de IA.
La herramienta Watermark agrega una marca de agua digital invisible a sus documentos. Banana_blackmail (ransomware basado en Golang), PrivHunterAI (herramienta basada en Golang que utiliza modelos Kimi, DeepSeek y GPT para detectar vulnerabilidades de escalada de privilegios). ChatGPTJailbreak. Incluye un archivo README.md que contiene indicaciones para hacer jailbreak a OpenAI ChatGPT engañándolo para que ingrese al modo Do Anything Now (DAN) o pidiéndole que actúe como ChatGPT con el modo de desarrollador habilitado. InfiltrateX es un escáner basado en Golang para detectar vulnerabilidades de escalada de privilegios. VigilantEye es una herramienta basada en Golang que monitorea la divulgación de información confidencial, como números de teléfono y números de tarjetas de identificación, en una base de datos. Está configurado para enviar alertas a través del bot WeChat Work si se detecta una posible violación de datos.
«Además, la actividad en GitHub de Ed1s0nZ indica que están interactuando con organizaciones que potencialmente apoyan las operaciones cibernéticas patrocinadas por el gobierno chino», dijo Thomas. «Esto incluye empresas privadas chinas con vínculos conocidos con el Ministerio de Seguridad del Estado (MSS) de China».
Una de esas empresas con las que los desarrolladores se pusieron en contacto es Knownsec 404, un proveedor de seguridad chino. La compañía sufrió una importante filtración de más de 12.000 documentos internos a fines del año pasado, exponiendo un tesoro de datos robados, incluidos datos de empleados de la compañía, clientes gubernamentales, herramientas de piratería, información relacionada con registros telefónicos de Corea del Sur y organizaciones de infraestructura crítica de Taiwán, y el funcionamiento interno de operaciones cibernéticas en curso dirigidas a otros países.
«A primera vista, KnownSec parecía ser sólo una empresa de seguridad, pero esto es sólo una verdad a medias», dijo DomainTools en un análisis publicado en enero, describiéndolo como un «contratista cibernético alineado con el Estado» capaz de apoyar la seguridad nacional, la inteligencia y los objetivos militares de China.
«En realidad, (…) hay organizaciones oscuras que trabajan para el Ejército Popular de Liberación, el MSS y agencias del estado de seguridad chino. Esta filtración expone a una empresa que opera mucho más allá del papel de un típico proveedor de ciberseguridad. Herramientas como ZoomEye y Critical Infrastructure Target Library proporcionan a China un sistema de reconocimiento global que cataloga millones de IP, dominios y organizaciones extranjeras por sector, geografía y valor estratégico».
También se observó que Ed1s0nZ modificaba y eliminaba activamente referencias al archivo README.md en el repositorio del mismo nombre, que recibió el Premio a la Contribución de Nivel 2 de la Base de Datos Nacional de Vulnerabilidad de la Seguridad de la Información de China (CNNVD). El desarrollador también afirma que «todo lo que se comparte aquí es puramente para investigación y aprendizaje».
Según una investigación publicada por Bitsight el mes pasado, China mantiene dos bases de datos de vulnerabilidades separadas: CNNVD y China National Vulnerability Database (CNVD). El CNNVD está supervisado por el Ministerio de Seguridad del Estado, mientras que el CNVD está gestionado por la CNCERT. Los hallazgos anteriores de Recorded Future revelaron que CNNVD tarda más en publicar vulnerabilidades con puntuaciones CVSS más altas que vulnerabilidades con puntuaciones CVSS más bajas.
«El reciente intento del desarrollador de eliminar las referencias a CNNVD de su perfil de GitHub indica un esfuerzo activo para ocultar estas conexiones estatales, probablemente para proteger la viabilidad operativa de la herramienta a medida que crece en popularidad», dijo Thomas. «La adopción de CyberStrikeAI se está acelerando y representa una evolución alarmante en la proliferación de herramientas de seguridad ofensivas mejoradas por IA».
Source link
