Vínculos entre CyberStrikeAI y ataques a Fortinet
Los investigadores advierten que una plataforma de pruebas de seguridad de IA de código abierto recientemente identificada, denominada CyberStrikeAI, fue utilizada por el mismo actor de amenazas responsable de una campaña reciente que vulneró cientos de firewalls Fortinet FortiGate.
El mes pasado, BleepingComputer informó sobre una operación de hacking asistida por IA que comprometió más de 500 dispositivos FortiGate en un periodo de cinco semanas. El atacante detrás de esta campaña utilizó múltiples servidores, incluyendo un servidor web en la dirección IP 212.11.64[.]250.
En un nuevo informe, Will Thomas (conocido como BushidoToken), Asesor Senior de Inteligencia de Amenazas para Team Cymru, afirma que se observó esa misma dirección IP ejecutando la plataforma de pruebas de seguridad impulsada por IA, CyberStrikeAI, la cual es relativamente nueva.
Al analizar los datos de NetFlow, Team Cymru identificó un banner del servicio «CyberStrikeAI» ejecutándose en el puerto 8080 de la IP 212.11.64[.]250, y observó comunicaciones de red entre esa dirección y los dispositivos Fortinet FortiGate que el actor de amenazas tenía como objetivo. La última vez que se detectó la infraestructura de la campaña contra FortiGate ejecutando CyberStrikeAI fue el 30 de enero de 2026.
El repositorio de GitHub de CyberStrikeAI se describe a sí mismo como una «plataforma de pruebas de seguridad nativa de IA construida en Go» que integra más de 100 herramientas de seguridad, un motor de orquestación inteligente, roles de seguridad predefinidos y un sistema de habilidades (skills system).
Nota: Es interesante notar que mencionan el uso de Go (Golang), un lenguaje que los desarrolladores de malware y herramientas de red prefieren últimamente por su velocidad y facilidad para crear ejecutables que funcionan en distintos sistemas operativos.
«A través del protocolo nativo MCP y agentes de IA, permite una automatización de extremo a extremo: desde comandos conversacionales hasta el descubrimiento de vulnerabilidades, análisis de la cadena de ataque, recuperación de conocimientos y visualización de resultados, ofreciendo un entorno de pruebas auditable, rastreable y colaborativo para los equipos de seguridad», reza la descripción del proyecto. La herramienta incluye un motor de toma de decisiones por IA compatible con modelos como GPT, Claude y DeepSeek, una interfaz web protegida por contraseña con registro de auditoría y persistencia en SQLite, y un panel de control para la gestión de vulnerabilidades, orquestación de tareas y visualización de la cadena de ataque.
Su conjunto de herramientas le permite llevar a cabo una cadena de ataque completa, que incluye escaneo de redes (nmap, masscan), pruebas de aplicaciones y entornos web (sqlmap, nikto, gobuster), marcos de explotación (metasploit, pwntools), herramientas de descifrado de contraseñas (hashcat, john) y marcos de post-explotación (mimikatz, bloodhound, impacket).
Al combinar estas herramientas con agentes de IA y un orquestador, CyberStrikeAI permite a los operadores —incluso a aquellos con pocas habilidades técnicas— automatizar ataques contra objetivos. Team Cymru advierte que los motores de orquestación nativos de IA como este podrían acelerar la selección automatizada de objetivos en dispositivos perimetrales expuestos, incluyendo firewalls y dispositivos VPN.
Los investigadores afirman haber observado 21 direcciones IP únicas ejecutando CyberStrikeAI entre el 20 de enero y el 26 de febrero de 2026, con servidores alojados principalmente en China, Singapur y Hong Kong. Se detectó infraestructura adicional en Estados Unidos, Japón y Europa.
«A medida que los adversarios adoptan cada vez más motores de orquestación nativos de IA, esperamos ver un aumento en la selección de objetivos automatizada e impulsada por IA contra dispositivos perimetrales vulnerables, similar al reconocimiento y ataque observados contra los dispositivos Fortinet FortiGate«, explica Thomas.
«En un futuro cercano, los defensores deben estar preparados para un entorno donde herramientas como CyberStrikeAI, junto con otros proyectos de escalada de privilegios asistidos por IA del mismo desarrollador —como PrivHunterAI e InfiltrateX—, reduzcan significativamente la barrera de entrada para la explotación de redes complejas».
Nota: Es bastante revelador que ya se mencionen modelos como DeepSeek integrados en estas herramientas de ataque, lo que demuestra lo rápido que el ecosistema del cibercrimen adopta los últimos avances en IA.
Los investigadores también examinaron el perfil del desarrollador de CyberStrikeAI, quien utiliza el alias «Ed1s0nZ«.
Basándose en los repositorios públicos vinculados a la cuenta, el desarrollador ha trabajado en otras herramientas de seguridad asistidas por IA, incluyendo PrivHunterAI, que utiliza modelos de IA para detectar vulnerabilidades de escalada de privilegios, e InfiltrateX, una herramienta de escaneo para la escalada de privilegios.
Según Team Cymru, la actividad del desarrollador en GitHub muestra interacciones con organizaciones vinculadas anteriormente a operaciones cibernéticas afiliadas al gobierno chino. En diciembre de 2025, el desarrollador compartió CyberStrikeAI con el «Proyecto Starlink» de Knownsec 404. Knownsec es una empresa china de ciberseguridad con presuntos vínculos con el gobierno de ese país.
El 5 de enero de 2026, el desarrollador mencionó en su perfil de GitHub haber recibido un «Premio a la Contribución de Nivel 2 del Programa de Recompensas por Vulnerabilidades CNNVD 2024«.
Se cree que la Base de Datos Nacional de Vulnerabilidades de China (CNNVD) es operada por la comunidad de inteligencia de China, que supuestamente la utiliza para identificar vulnerabilidades destinadas a sus operaciones. Team Cymru afirma que la referencia a la CNNVD fue eliminada posteriormente del perfil del desarrollador.
Los repositorios de GitHub del desarrollador están escritos principalmente en chino, lo que sugiere que se trata de un desarrollador de habla china, por lo que la interacción con organizaciones nacionales de ciberseguridad no sería necesariamente inusual.
Estas nuevas herramientas de ciberseguridad impulsadas por IA siguen demostrando cómo los actores de amenazas utilizan cada vez más los servicios de IA comerciales para automatizar sus ataques y, al mismo tiempo, reducir la barrera de entrada al mundo del cibercrimen.
El mes pasado, Google también informó que los actores de amenazas están abusando de la IA de Gemini en todas las etapas de los ciberataques, potenciando las capacidades de atacantes de todos los niveles de habilidad.
Fuente: BC