研究者は、CyberStrikeAIと呼ばれる新たに特定されたオープンソースのAIセキュリティテストプラットフォームが、数百台のFortinet FortiGateファイアウォールを侵害した最近のキャンペーンの背後にいる同じ脅威行為者によって使用されていたことを警告している。
先月、5週間で500台以上のFortiGateデバイスを侵害したAI支援ハッキング作戦について報告しました。このキャンペーンの背後にいる脅威アクターは、212.11.64[.]250のWebサーバを含む複数のサーバを使用していました。
Team Cymruのシニア・スレット・インテル・アドバイザーであるウィル・トーマス(別名BushidoToken)は、新しいレポートの中で、同じIPアドレスが比較的新しいCyberStrikeAIのAI搭載セキュリティ・テスト・プラットフォームを実行していることが確認されたと述べています。
NetFlowデータを分析したところ、Team Cymruは212.11.64[.]250上のポート8080で実行されている「CyberStrikeAI」サービスバナーを特定し、そのIPと脅威行為者が標的としたFortinet FortiGateデバイス間のネットワーク通信を確認しました。FortiGateキャンペーンのインフラストラクチャは、2026年1月30日にCyberStrikeAIが実行されているのが最後に確認されています。
CyberStrikeAIのGitHubリポジトリでは、100以上のセキュリティツール、インテリジェントなオーケストレーションエンジン、事前定義されたセキュリティの役割、スキルシステムを統合した「Goで構築されたAIネイティブのセキュリティテストプラットフォーム」と説明されています。
「ネイティブのMCPプロトコルとAIエージェントを通じて、会話型コマンドから脆弱性の発見、アタックチェーンの分析、知識の検索、結果の可視化まで、エンドツーエンドの自動化を可能にし、監査可能、追跡可能、コラボレーティブなテスト環境をセキュリティチームに提供します。このツールには、GPT、Claude、DeepSeekなどのモデルと互換性のあるAI決定エンジン、監査ロギングとSQLiteパーシステンスを備えたパスワードで保護されたウェブUI、脆弱性管理、タスクオーケストレーション、アタックチェーン可視化のためのダッシュボードが含まれている。
そのツールは、ネットワークスキャン(nmap、masscan)、ウェブとアプリケーションのテスト(sqlmap、nikto、gobuster)、エクスプロイトフレームワーク(metasploit、pwntools)、パスワードクラッキングツール(hashcat、john)、およびポストエクスプロイトフレームワーク(mimikatz、bloodhound、impacket)を含む、完全な攻撃チェーンの実施を可能にする。
これらのツールをAIエージェントやオーケストレーターと組み合わせることで、CyberStrikeAIは、スキルの低いオペレーターであっても、標的に対する攻撃を自動化することを可能にする。Team Cymruは、このようなAIネイティブのオーケストレーションエンジンは、ファイアウォールやVPNアプライアンスなど、露出したエッジデバイスの自動ターゲット化を加速させる可能性があると警告している。
研究者によると、2026年1月20日から2月26日の間にCyberStrikeAIを実行している21のユニークなIPアドレスを観測し、サーバーは主に中国、シンガポール、香港でホストされていた。その他のインフラは米国、日本、ヨーロッパで発見された。
「敵がAIネイティブのオーケストレーション・エンジンをますます採用するようになるにつれ、フォーティネットのFortiGateアプライアンスの偵察と標的化が観測されたのと同様に、脆弱なエッジ・デバイスの自動化されたAI主導の標的化が増加すると予想されます」とトーマス氏は説明します。
「近い将来、CyberStrikeAIのようなツールが、PrivHunterAIやInfiltrateXのような開発者の他のAI支援型特権昇格プロジェクトと並んで、複雑なネットワーク悪用への参入障壁を大幅に引き下げる環境に備えておく必要があります。
研究者たちはまた、”Ed1s0nZ “という別名で活動しているCyberStrikeAIの開発者のプロフィールも調査した。
このアカウントにリンクされている公開リポジトリによると、この開発者は、AIモデルを使用して特権昇格の脆弱性を検出するPrivHunterAIや、特権昇格スキャンツールのInfiltrateXなど、AI支援セキュリティツールの追加開発に取り組んでいる。
Team Cymruによると、この開発者のGitHubでの活動には、以前から中国政府系のサイバーオペレーションとつながりのある組織との交流が見られるという。
2025年12月、開発者はCyberStrikeAIをKnownsec 404の “Starlink Project “と共有した。Knownsecは中国政府とのつながりが疑われる中国のサイバーセキュリティ企業である。
2026年1月5日、開発者はGitHubのプロフィールで「CNNVD 2024 Vulnerability Reward Program – Level 2 Contribution Award」を受賞したことに言及した。
China National Vulnerability Database (CNNVD)は中国の諜報機関によって運営されていると考えられており、諜報機関はこのデータベースを利用して脆弱性を特定しているとされている。Team Cymruによると、CNNVDへの言及は後に開発者のプロフィールから削除されたという。
この開発者のGitHubリポジトリは主に中国語で書かれており、中国語を話す開発者であることを示唆しており、国内のサイバーセキュリティ組織との交流は必ずしも珍しいことではないだろう。
これらの新しいAIを搭載したサイバーセキュリティ・ツールは、商業的なAIサービスが脅威行為者によって攻撃の自動化にますます利用されるようになり、同時に参入障壁が低くなっていることを示し続けている。
先月グーグルも、脅威行為者がサイバー攻撃のあらゆる段階でGemini AIを悪用しており、あらゆるスキルレベルの脅威行為者の能力を強化していることを報告している。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}
.ia_button {
width: 100%;
margin: 0px auto;
}
}
レッドレポート2026:ランサムウェアの暗号化が38%減少した理由
マルウェアはますます賢くなっています。レッドレポート2026では、新しい脅威がどのように数学を使ってサンドボックスを検出し、目に見えないところに隠れているかを明らかにしています。
110万件の悪意のあるサンプルの分析結果をダウンロードして、トップ10のテクニックを明らかにし、セキュリティ・スタックが盲点になっていないか確認してください。
Comments