La nueva herramienta de prueba de penetración de inteligencia artificial (AI) vinculada a la compañía con sede en China ha recopilado casi 11,000 descargas en el repositorio de Python Package Index (PYPI), lo que plantea las preocupaciones de que el ciberdinito podría reutilizarlo con fines maliciosos.
El marco, llamado aldeano, está calificado como el trabajo de CyberSpike, implementando los Turss como una solución de equipo rojo para automatizar los flujos de trabajo de prueba. Este paquete fue subido por primera vez a PYPI a fines de julio de 2025 por un usuario llamado Scimalfish001, un ex jugador de Capture the Flag (CTF) para el equipo chino de HSCSEC.
«Las capacidades rápidas de disponibilidad pública y automatización crean riesgos realistas para que los aldeanos sigan la trayectoria de los ataques de cobalto. Las giras comerciales o desarrolladas legalmente se han adoptado ampliamente por los actores de amenazas debido a campañas maliciosas».
El surgimiento de los aldeanos ocurre poco después de que el puesto de control revela que los actores de amenaza están tratando de aprovechar la herramienta de seguridad de ataque de otra nueva AI-Asis llamada Hexstrike AI para aprovechar las fallas de seguridad que han revelado recientemente.
Con el advenimiento de los modelos Generator AI (también conocido como Genai), los actores de amenazas están aprovechando las tecnologías de la ingeniería social, la tecnología y las operaciones de información de manera que probablemente contribuya a las mejoras de velocidad, el acceso a la experiencia y la escalabilidad.
Uno de los beneficios importantes de confiar en tales herramientas es que reduce las barreras para la explotación y reduce el tiempo y el esfuerzo requeridos para detener tales ataques. Lo que una vez requirió operadores altamente calificados y semanas de desarrollo manual se pueden automatizar utilizando IA, brindando asistencia a los malos actores en el mal uso, la entrega de carga útil e incluso la configuración de la infraestructura.
«La explotación puede ser paralela a gran escala, con agentes que escanean miles de IP simultáneamente», dijo Checkpoint recientemente. «Las decisiones se adaptarán.
El hecho de que los aldeanos estén disponibles como paquetes de Python estándares significa que proporcionan a los atacantes una manera fácil de integrar la herramienta en su flujo de trabajo, Straiker lo describe como «preocupaciones sobre la evolución de las herramientas de ataque impulsadas por la IA».
CyberSpike apareció por primera vez en noviembre de 2023. Su dominio «CyberSpike (.) Top» ha sido registrado en Changchun Anshanyuan Technology Co., Ltd., una compañía de inteligencia artificial con sede en China. Dicho esto, la única fuente de información sobre lo que está haciendo la compañía proviene de una plataforma de servicio de talento chino llamada Liepin, que plantea preguntas sobre quién está detrás de esto.
Las instantáneas de los dominios capturados en los archivos de Internet revelan que la herramienta se vende como una herramienta de simulación de ataque de red y prueba de prueba posterior a la penetración, ayudando a las organizaciones a evaluar y mejorar sus actitudes de seguridad cibernética.
Una vez instalado, CyberSpike incorpora complementos, un componente de la herramienta de acceso remoto (rata), que permite el monitoreo y el control invasivos de las víctimas utilizando acceso remoto de escritorio, compromiso de la cuenta de discordia, resistencia de la tecla de tecla, secuestro de cámaras web y otras características de vigilancia. Un análisis posterior reveló similitudes con ratas conocidas llamadas asíncratas.
«CyberSpike integra Asyncrat con productos de equipo rojo y también presenta complementos adicionales para herramientas de hacks conocidas como Mimikatz», dice Straiker. «Estas integraciones muestran cómo la ciberespike reempaquetó herramientas de ataque y ataque establecidas y cómo fueron reempaquetados en un marco llave en mano diseñado para pruebas de penetración y quizás operaciones maliciosas».
El aldeano parece ser el último producto de CyberSpike. Actúa como un cliente de protocolo de contexto modelo (MCP) y se integra con los modelos AI de Kali Linux Toolset, Langchain y Deepseek para automatizar los flujos de trabajo de prueba, manejar las interacciones basadas en el navegador, emitir comandos en lenguaje natural y convertirlos en equivalentes técnicos.
Además de aprovechar la base de datos de los sistemas de IA, se le recomienda generar hazañas y tomar decisiones en tiempo real en las pruebas de penetración. El marco de pruebas de penetración nativa de AI crea automáticamente contenedores aislados de Kali Linux para escaneos de red, evaluaciones de vulnerabilidad y pruebas de penetración, que cubre actividades después de 24 horas y luego los destruye.
«La naturaleza temporal de estos contenedores, combinada con puertos SSH aleatorios, dificulta la detección de contenedores de ataque con IA para complicar el análisis forense y la atribución de amenazas», señalaron los investigadores.
El comando y el control (C2) se logra mediante la interfaz Fastapi que maneja las tareas entrantes, y la plataforma de agente Pydantic AI basada en Python se utiliza para la estandarización de la salida.
«Los aldeanos reducen las habilidades y el tiempo necesarios para ejecutar cadenas de herramientas sofisticadas y agresivas, lo que permite a los actores menos hábiles llevar a cabo intrusiones más avanzadas», dijeron los investigadores. «Las arquitecturas basadas en la pista muestran cambios fundamentales en la forma en que la IA organiza dinámicamente herramientas basadas en objetivos en lugar de seguir patrones de ataque rígidos».
El reconocimiento automático, los intentos de explotación y el aumento de la frecuencia y la velocidad de las actividades posteriores pueden crear una carga de detección y respuesta en toda la empresa. «
«Las arquitecturas basadas en la pista muestran cambios fundamentales en la forma en que la IA organiza dinámicamente herramientas basadas en objetivos en lugar de seguir patrones de ataque rígidos».
Source link
