Аналитики Check Point предупреждают: злоумышленники обсуждают применение фреймворка HexStrike AI для ускоренной эксплуатации свежих n-day уязвимостей в продуктах Citrix NetScaler ADC/Gateway, включая CVE-2025-7775, CVE-2025-7776 и CVE-2025-8424. По данным Shadowserver Foundation, к 2 сентября 2025 года уязвимыми по CVE-2025-7775 оставались около 8 000 эндпоинтов против не менее 28 000 неделей ранее, что указывает на активное, но ещё не завершённое закрытие периметра.
Что такое HexStrike AI: возможности и архитектура
HexStrike AI — легитимный open-source фреймворк для red team, созданный исследователем Мухаммадом Осамой (Muhammad Osama). Инструмент интегрирует ИИ-агентов и позволяет автономно оркестрировать свыше 150 средств безопасности для автоматизации пентестов и поиска уязвимостей.
Фреймворк работает с внешними LLM через MCP, выстраивая непрерывный контур: формирование промптов, анализ контекста, выполнение команд и сбор обратной связи. Система умеет повторять неудачные шаги и восстанавливаться после сбоев, чтобы единичные ошибки не останавливали операцию.
Проект доступен на GitHub около месяца и уже собрал порядка 1 800 звёзд и более 400 форков. В описании подчёркнуто, что HexStrike AI не предназначен для несанкционированной активности. По словам автора, миссия проекта — дать защитным командам инструменты «адаптивной автоматизации». Осама также отметил, что задержал релиз RAG-версии, которая могла бы динамически подмешивать CVE-разведку, чтобы снизить риск злоупотреблений.
Активность на форумах и фокус на Citrix
По наблюдениям Check Point, обсуждения в даркнете начались примерно спустя 12 часов после публикации сведений об уязвимостях Citrix. Участники заявляли об успешной неаутентифицированной RCE через CVE-2025-7775 с последующей установкой веб-шеллов на скомпрометированных устройствах, а отдельные экземпляры NetScaler якобы выставлялись на продажу.
Исследователи полагают, что злоумышленники стремятся автоматизировать весь цикл эксплуатации с помощью HexStrike AI: поиск уязвимых узлов, генерация и адаптация эксплойтов, доставка полезной нагрузки и постэксплуатационные действия. При этом факт непосредственного применения фреймворка в зафиксированных атаках пока подтверждён косвенно — через форумы, тогда как CVE-2025-7775 уже эксплуатируется «в поле» независимыми кампаниями.
Почему это важно: окно реагирования стремительно сжимается
Кейс Citrix иллюстрирует тенденцию: ИИ-оркестрация переводит эксплуатацию n-day из ручного, трудоёмкого процесса в полуавтономные конвейеры. Сокращается время от раскрытия уязвимости до массовых попыток её применения — с дней до минут. Это повышает давление на процессы приоритизации патчей, управления внешней поверхностью (ASM) и постоянного мониторинга экспозиции.
В таких условиях критичными становятся стабильные каналы угрозоразведки, автоматизированные проверки конфигураций периметра и оперативное внедрение «виртуальных патчей» (правил WAF/IPS) до установки официальных обновлений. Чем быстрее снижается среднее время до безопасного состояния, тем ниже вероятность компрометации.
Рекомендации для SOC и ИБ-команд
Приоритизируйте патчинг Citrix NetScaler ADC/Gateway по CVE-2025-7775/7776/8424, включая проверку экспонированных узлов и отключение устаревших интерфейсов администрирования.
Применяйте виртуальную защиту: временные правила WAF/IPS и жёсткие политики на периметре для снижения доступности потенциальных векторов до развёртывания патчей.
Усилите мониторинг индикаторов компрометации: аномалии в HTTP(S)-трафике, несанкционированные артефакты (веб-шеллы), подозрительная активность учётных записей и изменений конфигурации.
Интегрируйте ИИ-защиту и адаптивное обнаружение: поведенческая аналитика (EDR/NDR), корреляция телеметрии с актуальной CVE-разведкой, автоматические плейбуки SOAR для ускорения реакции.
Проверяйте резервные копии и готовность IR: тест восстановления, изоляция бэкапов, чёткие runbook’и на случай эскалации инцидента.
Расширение инструментов, подобных HexStrike AI, неизбежно меняет баланс сил: та же автоматика, что повышает эффективность защитников, может ускорять злоупотребления. Минимизируйте окно атаки за счёт оперативного патчинга Citrix, виртуальной защиты и адаптивного мониторинга, а также пересмотрите процессы приоритизации уязвимостей под реалии «минутного» таймлайна эксплуатации. Чем быстрее ваша команда переходит от оповещения к действию, тем выше шансы упреждающего сдерживания угроз.
