Кратко: CyberStrikeAI — инструмент offensive security с открытым исходным кодом, автором которого выступает аккаунт, идентифицированный как Ed1s0nZ. Наблюдаемое распространение и характеристики проекта вызывают серьёзные опасения: инструмент интегрирует более 100 средств, использует интеллектуальный движок оркестрации и ориентирован на эксплуатацию сетевых уязвимостей, в том числе устройств Fortinet FortiGate. Связи автора и используемая инфраструктура указывают на возможные контакты с государственными киберактивами Китая и группами, ассоциированными с MSS.
Что известно о CyberStrikeAI
CyberStrikeAI — это проект на Go, объединивший множество существующих инструментов безопасности в единую платформу тестирования и эксплуатации. В описании отчёта отмечены ключевые характеристики:
- интеграция более 100 security-инструментов;
- интеллектуальный движок оркестрации;
- возможности для тестирования на основе ролей и управления жизненным циклом атак;
- целевой фокус на краевые сетевые устройства и уязвимости повышения привилегий.
Происхождение и фактологические наблюдения
Первое наблюдение инфраструктуры, связанной с CyberStrikeAI, связывают с отчётом команды Amazon CTI, указывающим на IP-адрес 212.11.64.250 как один из источников запуска инструмента. По состоянию на февраль 2026 года исследователи зафиксировали развёртывание проекта на 21 уникальном IP-адресе, с начала публичного релиза в ноябре 2025 года.
География зарегистрированных IP преимущественно приходится на регионы с высокой долей говорящих на китайском: Китай, Сингапур и Гонконг, что может свидетельствовать о целевой демографии пользователей или операторов инструмента.
Связи автора и потенциальная государственная составляющая
Профиль Ed1s0nZ на GitHub показывает портфолио, ориентированное на эксплуатацию: среди проектов — PrivHunterAI и InfiltrateX — инструменты для поиска и автоматизированного сканирования уязвимостей повышения привилегий. В отчёте отмечается сотрудничество с группами, которые имеют известные связи с Министерством государственной безопасности Китая (MSS), напр., Knownsec.
Дополнительный повод для настороженности — попытки маскировки этих связей: разработчик, по имеющимся данным, удалял упоминания о инициативе уязвимости CNNVD из своего профиля, вероятно, чтобы уменьшить видимость возможного сотрудничества с государственными структурами.
Технические цели и наблюдаемая активность
Анализ команды Cymru подчёркивает практическое применение CyberStrikeAI в эксплуатации сетевых уязвимостей: «Инструмент активно используется против устройств Fortinet FortiGate». Это указывает на целенаправленную атаку на инфраструктурные компоненты на краю сети, которые часто выполняют функции VPN, межсетевых экранов и доступа к корпоративным ресурсам.
Почему это важно
Рост использования CyberStrikeAI иллюстрирует более широкую тенденцию — милитаризацию ИИ в наступательных киброоперациях. Наличие оркестрации, автоматизации и обширного набора готовых модулей снижает барьер входа и позволяет APT-группам быстрее и эффективнее готовить сложные эксплойты, в том числе с возможностью быстрой интеграции 0-day уязвимостей.
Рекомендации для команд защиты
Организациям и командным SOC следует немедленно пересмотреть мониторинг и средства защиты. Базовый набор мер включает:
- Отслеживание и блокировка известных IP-адресов и командной инфраструктуры, связанных с CyberStrikeAI (включая 212.11.64.250 и другие зафиксированные адреса).
- Повышенное внимание к логам и телеметрии Fortinet FortiGate: выявление аномалий, необъяснимых конфигурационных изменений и признаков эксплуатации.
- Патч-менеджмент и приоритетное закрытие уязвимостей повышения привилегий.
- Сегментация сети и ограничение доступа к критическим краевым устройствам с применением принципа наименьших привилегий.
- Развертывание EDR/XDR, Threat Hunting и моделирование атак с фокусом на автоматизацию и оркестрацию.
- Обмен индикаторами компрометации (IOCs) и разведданными с отраслевыми партнёрами и публичными репозиториями CTI.
Индикаторы и приоритеты для мониторинга
- Зафиксированные адреса инфраструктуры (включая 212.11.64.250) и связанные с ними подсети;
- Необычные связи к регионам CN, SG, HK из устройств FortiGate и других краевых систем;
- Сканирование на предмет уязвимостей повышения привилегий и попытки автоматизированной эксплуатации;
- Необычные запуски инструментов или процессов, характерных для PrivHunterAI / InfiltrateX / CyberStrikeAI.
Вывод
Появление и распространение CyberStrikeAI — тревожный знак: сочетание open-source, широкого набора инструментов и AI-оригинации делает такие платформы привлекательными для APT и возможно для государственно поддерживаемых акторов. Команды защиты должны учитывать не только технические индикаторы, но и валидировать гипотезы о происхождении и намерениях операторов, усиливать мониторинг краевой инфраструктуры и готовиться к более автоматизированным, целенаправленным атакам.
Важно: вся представленная информация основана на имеющемся отчёте и наблюдениях исследователей; дальнейшие исследования и обмен информацией между организациями позволят точнее оценить масштаб и векторы угроз.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "CyberStrikeAI: AI-инструмент атак, связанный с китайскими APT".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.