Team Cymruの脅威インテリジェンス研究者は、世界中のFortinet FortiGateデバイスを積極的に標的とするオープンソースのAI駆動型攻撃セキュリティツールであるCyberStrikeAIを公開しました。
GitHubユーザーEd1s0nZによって開発されたこのGo言語ベースのプラットフォームは、100以上のセキュリティツールを統合し、インテリジェント・オーケストレーション・エンジン、ロールベースのテスト、スキルシステム、およびフルライフサイクル管理用のダッシュボードを備えています。
2025年11月8日に最初に公開されましたが、利用の急増まではほとんど注目されませんでした。
2026年1月20日から2月26日の間に、Team Cymruはこれを実行している21個のユニークなIPアドレスを検出し、脅威アクターの採用の急激な増加を示しています。
Amazon Threat Intelligenceは、1月11日から2月18日にかけて55カ国以上600台以上のFortiGateデバイスを侵害するキャンペーンに関連する、IPアドレス212.11.64[.]250の重要なサーバーを最初にフラグを付けました。
Ed1s0nZのプロフィールは、中国の国家支援作戦への強いつながりを示しています。2025年12月19日に、彼らはCyberStrikeAIを、中国の国家安全保障省(MSS)および人民解放軍(PLA)に関連するKnownsec 404 Starlinkプロジェクトに提出しました。
2026年1月5日に、彼らはゼロデイを収集するためのMSSが監督するCNNVDレベル2貢献賞を追加した後、それを削除しました。おそらく提携関係を隠すためです。
権限昇格検出用のPrivHunterAIやスキャン用のInfiltrateXのような他のリポジトリは、悪用の焦点を強化しています。
攻撃者はCyberStrikeAIのAIを使用してステップバイステップの計画、コマンドシーケンス、およびメソッドを作成しました。ゼロデイは必要ありませんでした。彼らは暴露された管理ポートと脆弱なシングルファクタ認証を使用して認証情報を盗みました。
ほとんどのサーバーは中国、シンガポール、香港でホストされており、中国の開発者ベースと一致しています。
Fortinetユーザーは迅速に行動する必要があります。すべてのFortiGateアプライアンスを監査し、インターネット露出管理インターフェースを無効にしてください。エッジデバイスに多要素認証を強制してください。
ポート8080のCyberStrikeAIバナーについてNetFlowおよびポートスキャンを監視してください。IPアドレス212.11.64[.]250および関連インフラをブロックしてください。
認証情報ベースのラテラルムーブメントを停止するためにバックアップを強化してください。同様のFortiGate脅威に関するコンテキストについて。
Team Cymruは、このようなアクセス可能なAIツールは中国のAPTグループによる採用を加速させ、脆弱なエッジで自動化された大規模な悪用を可能にすると警告しています。
AIが攻撃ツールと正当なテストの境界を曖昧にするにつれて、グローバルネットワークは国家支援の自動化からの増大するリスクに直面しています。
翻訳元: https://cyberpress.org/hackers-use-cyberstrikeai-tool-to-breach-fortinet-fortigate-devices/