Una nuova campagna di attacchi informatici basata su intelligenza artificiale ha preso di mira i dispositivi Fortinet FortiGate, sfruttando una piattaforma open source chiamata CyberStrikeAI. Le analisi collegano questa attività a un uso esteso di scansioni automatiche su larga scala per individuare appliance vulnerabili e avviare compromissioni in modo industrializzato. In precedenza era stato osservato un attore che utilizzava servizi di AI generativa per ottimizzare la fase di ricognizione e l’esecuzione della catena di attacco, arrivando a colpire oltre 600 dispositivi in 55 paesi.

CyberStrikeAI viene descritto come uno strumento di offensive security AI-native, sviluppato in Go e progettato per integrare più di 100 tool di sicurezza. Le sue funzionalità includono scoperta di vulnerabilità, analisi delle attack chain, recupero di conoscenza e visualizzazione dei risultati, elementi che possono ridurre tempi e complessità delle operazioni per chi conduce attacchi o test. In ambito cybersecurity questo tipo di piattaforme aumenta la velocità con cui si passa dalla ricerca di superfici esposte alla selezione di exploit e tecniche di post-exploitation, rendendo più efficace la compromissione di infrastrutture di rete.

Il tracciamento dell’infrastruttura ha evidenziato un insieme di indirizzi IP associati all’esecuzione di CyberStrikeAI in un intervallo temporale di alcune settimane, con hosting prevalente in aree dell’Asia e ulteriori presenze anche in altre nazioni. Questo dato è rilevante per la threat intelligence perché indica una diffusione operativa del framework e suggerisce la possibilità di riutilizzo da parte di più gruppi. In parallelo, l’account di sviluppo collegato al progetto ospita anche altri repository orientati a ransomware, scansioni per privilege escalation e tecniche di jailbreak dei modelli AI, un mix che segnala un interesse strutturato per l’automazione dell’attacco.

Per le organizzazioni che utilizzano FortiGate, il rischio principale è la combinazione tra scanning massivo, automazione e supporto dell’AI, che permette di trovare rapidamente configurazioni deboli o sistemi non aggiornati. La difesa passa da patch management rigoroso, riduzione dell’esposizione dei servizi di amministrazione, segmentazione, monitoraggio dei log e blocco proattivo di indicatori come IP sospetti e pattern di scansione.