TokyoBlackHatNews

gbhackers.com 4分で読了

Fortinet FortiGateデバイスがCyberStrikeAIに狙われ、ハッカーがセキュリティを回避可能に

Team Cymruの脅威インテリジェンス研究者は、CyberStrikeAIと呼ばれるオープンソースのAI搭載のオフェンシブセキュリティツールを発見しました。このツールはFortinet FortiGateデバイスを大規模に狙うために積極的に使用されており、開発者は中国の国家安全保障委員会(MSS)との関係が疑われています。

CyberStrikeAIはGoで書かれたAIネイティブセキュリティテストプラットフォームで、Ed1s0nZという名前のGitHubユーザーによって開発されました。

このツールは100以上のセキュリティツールをインテリジェント・オーケストレーションエンジン、ロールベースのテスト機能、専門的なスキルシステム、および完全なライフサイクル管理と統合し、すべて独自のダッシュボードを通じてアクセスできます。

Image

リポジトリは2025年11月8日に最初に公開されましたが、初期段階ではほとんど使用されませんでした。

2026年1月20日から2月26日の間に、Team CymruはCyberStrikeAIを実行している21個のユニークなIPアドレスを検出しました。これは脅威アクターによる急速な採用を示す大きな増加です。

FortiGateデバイスをどのように標的にしたか

攻撃は最初にAmazonの脅威インテリジェンスによってフラグが立てられ、疑わしいサーバーIP 212.11.64[.]250が共有されました。このIPはAI強化キャンペーンに関連し、2026年1月11日から2月18日の間に55カ国以上で600以上のFortiGateデバイスを侵害しました。

Team CymruのScoutプラットフォームを使用したそのIPの分析により、ポート8080で実行されているCyberStrikeAIサービスバナーが明らかになりました。

Image

NetFlowデータは、そのサーバーと複数のFortinet FortiGateアプライアンス間の直接的なネットワーク通信を確認し、キャンペーンにおけるツールの積極的な役割を確認しました。

FortiGateキャンペーンインフラストラクチャが最後にCyberStrikeAIを実行しているのは2026年1月30日に観察されました。

攻撃者はAIを活用して、ステップバイステップの攻撃計画、コマンドシーケンス、および悪用方法を生成しました。

ゼロデイ脆弱性は悪用されませんでした。代わりに、キャンペーンは露出した管理ポートと弱い単一要素認証に依存してアクセスを獲得し、認証情報を収集しました。

Team CymruのEd1s0nZのGitHubプロフィールへの調査により、中国政府支援の作戦に関連する活動パターンが明らかになりました。主な知見は以下の通りです:

  • 2025年12月19日、Ed1s0nZはCyberStrikeAIをKnownsec 404 Starlink Projectに提出しました。このプロジェクトはMSSと中国人民解放軍(PLA)との関係が文書化されています。
  • 2026年1月5日、Ed1s0nZはCNNVD(中国国家脆弱性データベース)2024レベル2貢献賞をGitHubプロフィールに追加しました。CNNVDはMSSが監督しており、中国共産党が公開前にゼロデイを収集するためのメカニズムとして機能しています。
  • Ed1s0nZは後にGitHubプロフィールからCNNVD参照を削除しました。研究者はこれをツール人気化に伴い国家との関係を隠そうとするものと解釈しています。

開発者の他のリポジトリであるPrivHunterAI(AI駆動権限昇格検出)とInfiltrateX(自動化された権限昇格スキャン)は、悪用に焦点を当てたツールセットをさらに強化しています。

Image

ほとんどのCyberStrikeAIサーバーは中国、シンガポール、香港でホストされており、中国語を話す開発者ベースと一致しています。セキュリティチームは以下を含む即座の措置を講じるべきです:

  • FortiGateアプライアンスを監査し、インターネットに露出した管理インターフェースを無効にする
  • すべてのネットワークエッジデバイス全体で多要素認証を実施する
  • CyberStrikeAIサービスバナー(ポート8080)についてNetFlowとポートスキャンデータを監視する
  • インジケーターIP: 212.11.64[.]250および関連インフラストラクチャをブロックする
  • 認証情報ベースのラテラルムーブメントに対するバックアップインフラストラクチャを強化する

Team CymruはAIネイティブオーケストレーションツールがより利用しやすくなるにつれ、中国語を話すAPTグループはCyberStrikeAIの採用を加速させ、グローバルな脆弱なエッジデバイスの自動化された大規模な悪用のリスクを高める可能性があると警告しています。

翻訳元: https://gbhackers.com/fortinet-fortigate-devices-targeted-by-cyberstrikeai/

ソース: gbhackers.com
#AI悪用 #CyberStrikeAI #Fortinet FortiGate #エッジデバイス #オフェンシブセキュリティ #ネットワークセキュリティ #中国APT #脅威インテリジェンス #脆弱性悪用 #認証回避

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚