Відкрита ШІ‑платформа CyberStrikeAI, яку позиціонують як інструмент для тестування безпеки, була зафіксована в реальній шкідливій кампанії проти пограничних пристроїв. За даними Team Cymru, зловмисники використали її для автоматизації атак, що призвели до компрометації сотень файрволів Fortinet FortiGate у десятках країн.
Як CyberStrikeAI потрапила в ланцюг атак на Fortinet FortiGate
Ще раніше фіксувалася активність російськомовного атакувальника, який протягом приблизно п’яти тижнів зумів скомпрометувати понад 600 Fortinet FortiGate у 55 країнах, активно залучаючи генеративні ШІ‑інструменти для розвідки та експлуатації вразливостей.
У новому звіті аналітик Team Cymru Вілл Томас (відомий як BushidoToken) виявив, що на одному з вузлів інфраструктури цієї кампанії — 212.11.64[.]250 — був розгорнутий сервіс CyberStrikeAI. Аналіз NetFlow-телеметрії показав, що на порту 8080 даного хоста відповідав банер платформи, а між цим IP‑адресом і зламаними FortiGate відбувався постійний мережевий обмін.
Остання зафіксована активність CyberStrikeAI в цій інфраструктурі датується 30 січня 2026 року, що дозволяє з високою часткою впевненості пов’язати платформу з описаною кампанією проти файрволів Fortinet.
Що таке CyberStrikeAI: архітектура ШІ‑платформи для атак і пентесту
CyberStrikeAI — це опенсорсна платформа, написана мовою Go, яку її автори подають як «ІІ‑платформу для тестування безпеки». Вона об’єднує понад 100 популярних інструментів кібербезпеки, власний оркестратор, систему «ролей» та «навичок», що дозволяє ШІ‑агентам будувати і виконувати складні сценарії атак або аудиту інфраструктури.
Ключовим елементом є decision engine, сумісний з моделями на кшталт GPT, Claude, DeepSeek та іншими LLM, а також з протоколом MCP для взаємодії з ІІ‑агентами. Ідея платформи — забезпечити end-to-end‑автоматизацію: від простої команди природною мовою до пошуку вразливостей, побудови attack paths, збагачення даних та візуалізації результатів в одному інтерфейсі.
CyberStrikeAI має захищений паролем веб‑інтерфейс із журналюванням дій, внутрішнім сховищем на SQLite та дашбордом для управління вразливостями й задачами. Така інтеграція робить її природним інструментом для Red Team та пентестерів, але одночасно значно знижує поріг входу для кіберзлочинців, які прагнуть запускати автоматизовані кібератаки.
Offensive-можливості: повний ланцюг атаки від сканування до постексплуатації
Розвідка та сканування мережі
Для етапів розвідки та виявлення цілей CyberStrikeAI інтегрує такі інструменти, як nmap і masscan, що дозволяє швидко сканувати великі діапазони IP‑адрес та ідентифікувати відкриті порти, служби і версії ПЗ.
Для тестування веб‑додатків задіяні sqlmap, nikto, gobuster та інші утиліти, які допомагають виявляти уразливості типу SQL‑ін’єкцій, небезпечні конфігурації веб‑серверів та приховані шляхи.
Експлуатація, підбір паролів та постексплуатація
На етапі експлуатації вразливостей платформа може автоматизовано використовувати Metasploit і pwntools, а для атак на облікові дані — hashcat і John the Ripper, покриваючи як онлайн‑брутфорс, так і офлайн‑злам хешів.
Після успішного проникнення в хід ідуть інструменти mimikatz, BloodHound та скрипти impacket. Вони дають змогу автоматизувати збір облікових даних, аналіз прав у домені, побудову графів довіри та горизонтальне переміщення мережею жертви. У поєднанні з ШІ‑агентами та оркестратором це перетворює CyberStrikeAI на своєрідний «конструктор» наступальних операцій навіть для слабо підготовлених акторів.
Географія розгортання CyberStrikeAI та специфіка ризиків для периметра
За період із 20 січня по 26 лютого 2026 року Team Cymru ідентифікувала щонайменше 21 унікальну IP‑адресу, на яких було розгорнуто сервіс CyberStrikeAI. Більшість із них розташовувалися в Китаї, Сінгапурі та Гонконзі; додаткові сервери фіксувалися у США, Японії та кількох європейських державах. Така розподіленість свідчить про прагнення операторів забезпечити стійкість та географічне різноманіття точок входу.
Дослідники наголошують, що автоматизовані ШІ‑атаки особливо небезпечні для пограничних пристроїв — файрволів, VPN‑шлюзів, маршрутизаторів. Саме вони зазвичай доступні напряму з інтернету, а їх компрометація відкриває зручний плацдарм для подальшого руху всередину корпоративної мережі. Галузеві звіти (Verizon DBIR, Mandiant, ENISA) послідовно вказують, що атаки на периметр залишаються одним із ключових векторів проникнення.
Розробник Ed1s0nZ і можливі зв’язки з китайською кіберактивністю
Основний автор CyberStrikeAI, який виступає під ніком Ed1s0nZ, також пов’язується з іншими наступальними ІІ‑проєктами. Зокрема, це PrivHunterAI для пошуку вразливостей підвищення привілеїв та InfiltrateX, що позиціонується як сканер для ескалації привілеїв та глибокої розвідки системи.
Аналіз активності розробника на GitHub, за оцінкою Team Cymru, може вказувати на можливі контакти з організаціями, які раніше пов’язували з кібервідділами китайських держструктур. У грудні 2025 року Ed1s0nZ поділився CyberStrikeAI з проєктом Starlink компанії Knownsec 404 — помітного гравця китайського ринку ІБ. У січні 2026 року в профілі розробника згадувалося також отримання відзнаки від CNNVD (China National Vulnerability Database), яку, за оцінками низки західних дослідників, контролюють структури, пов’язані з розвідкою КНР. Згодом це посилання було видалене, що лише посилює питання щодо контексту використання таких інструментів.
Як захистити пограничні пристрої від автоматизованих ШІ‑атак
Ситуація з CyberStrikeAI наочно демонструє ризики dual-use‑технологій: інструмент, створений нібито для пентесту, у руках зловмисників стає платформою для масштабних автоматизованих кампаній проти широко використовуваних рішень, таких як Fortinet FortiGate та інші мережеві пристрої.
Організаціям варто виходити з припущення, що подібні ШІ‑платформи й надалі розвиватимуться та будуть доступні не лише висококваліфікованим APT‑групам, а й менш досвідченим акторам. Критично важливо:
1. Оперативно встановлювати оновлення прошивок пограничних пристроїв та відслідковувати публікації про нові уразливості для Fortinet FortiGate та аналогічних рішень.
2. Жорстко обмежити доступ до адміністративних інтерфейсів файрволів і VPN‑шлюзів (ACL, VPN, jump‑host’и), обов’язково застосовувати багатофакторну автентифікацію.
3. Використовувати сегментацію мережі та принцип найменших привілеїв, мінімізуючи можливості бічного переміщення після потенційного зламу периметра.
4. Налагодити моніторинг NetFlow та іншої мережевої телеметрії для виявлення нетипового трафіку до файрволів і VPN‑шлюзів, а також регулярно проводити пентест із урахуванням сценаріїв автоматизованих ІІ‑атак.
Швидке поширення інструментів на кшталт CyberStrikeAI означає, що «автоматизація» кібератак стане новою нормою. Ті організації, які вже сьогодні інвестують у зріле управління вразливостями, моніторинг мережі та підвищення обізнаності команд безпеки, матимуть суттєву перевагу перед тими, хто продовжує покладатися лише на базові засоби захисту периметра.
