A FortiGate eszközök ellen használt CyberStrikeAI kínai háttérrel rendelkezik
A Fortinet FortiGate eszközöket célzó, nemrég nyilvánosságra hozott AI által támogatott kampány mögött álló kiberszereplő egy CyberStrikeAI nevű, nyílt forráskódú, AI-alapú biztonsági tesztelő platformot használt a támadások végrehajtásához. Az új eredmények a Team Cymru tette közzé, amely az IP-cím („212.11.64[.]250”) elemzése után észlelte annak használatát, amelyet egy feltételezett orosz kiberszereplő használt sérülékeny eszközök automatizált tömeges szkenneléséhez.
A CyberStrikeAI egy nyílt forráskódú, AI-al működő Go nyelven írt offenzív biztonsági eszköz (OST), amelyet egy kínai fejlesztő fejlesztett ki, akiről a Team Cymru úgy véli, hogy bizonyos kapcsolatai vannak a kínai kormánnyal.
Az AI-alapú tevékenység részletei a múlt hónapban kerültek napvilágra, amikor az Amazon Threat Intelligence bejelentette, hogy egy ismeretlen támadót észlelt, aki generatív AI szolgáltatásokat, például az Anthropic Claude-ot és a DeepSeek-et használt szisztematikusan FortiGate eszközök ellen és 55 országban több mint 600 eszközt kompromittált.
A GitHub-on található leírás szerint a CyberStrikeAI-t Go nyelven fejlesztették, és több mint 100 biztonsági eszközt integrál, amelyek lehetővé teszik a sérülékenységek felfedezését, a támadási láncok elemzését, az ismeretek visszakeresését és az eredmények vizualizálását. A szoftvert egy kínai fejlesztő tartja karban, aki az Ed1s0nZ online néven szerepel a GitHubon.
A Team Cymru 2026. január 20. és február 26. között 21 egyedi IP-címet azonosított, amelyek a CyberStrikeAI programot futtatták, és amelyek szerverei elsősorban Kínában, Szingapúrban és Hongkongban voltak. Az eszközhöz kapcsolódó további szervereket az Egyesült Államokban, Japánban és Svájcban is észleltek.
A kutatók szerint Ed1s0nZ GitHub tevékenységei arra utalnak, hogy olyan szervezetekkel áll kapcsolatban, amelyek potenciálisan a kínai kormány által támogatott kiberműveleteket támogatnak. Ide tartoznak azok a kínai magánvállalatok is, amelyekről ismert, hogy kapcsolatban állnak a Kínai Állambiztonsági Minisztériummal (MSS). Számos GitHub-tevékenység potenciálisan összekapcsolja Ed1s0nZ-t a kínai állam által támogatott kiberműveletekkel. 2025. december 19-én Ed1s0nZ közzétette a CyberStrikeAI-t a Knownsec 404 Starlink Projectjén. A DomainTools és mások által közzétett jelentések alapján a Knownsec az MSS-nek és a Kínai Népi Felszabadító Hadseregnek (PLA) dolgozik.
2026. január 5-én a fejlesztő GitHub profilján megemlítette, hogy megkapta a „CNNVD 2024 Vulnerability Reward Program – Level 2 Contribution Award”-ot. A China National Vulnerability Database-et (CNNVD) feltehetően Kína hírszerző közössége üzemeltetei. A Team Cymru szerint a CNNVD-re való hivatkozást később eltávolították a fejlesztő profiljából.
