La plataforma open-source integra más de 100 herramientas ofensivas y un motor de orquestación inteligente. Investigadores la vincularon a ataques contra firewalls FortiGate y a un desarrollador con lazos con el Ministerio de Seguridad del Estado (MSS) de China.
Investigadores de la firma de inteligencia de amenazas Team Cymru han identificado el uso activo de CyberStrikeAI, una nueva y sofisticada plataforma de seguridad ofensiva de código abierto que utiliza inteligencia artificial para automatizar ciberataques. La herramienta, cuyo desarrollador tiene presuntos vínculos con el gobierno chino, ya ha sido observada en campañas dirigidas contra firewalls FortiGate a nivel global, democratizando el acceso a técnicas de intrusión que antes requerían un alto nivel de especialización.
El análisis de Team Cymru, detallado en una publicación de su blog, comenzó a partir de una investigación de Amazon CTI sobre ataques a dispositivos Fortinet, que apuntaba a la dirección IP 212.11.64[.]250. Al examinar este activo, los analistas descubrieron que alojaba un panel de control de CyberStrikeAI. Entre el 20 de enero y el 26 de febrero de 2026, la firma detectó 21 direcciones IP únicas ejecutando la plataforma, principalmente desde servidores en China, Singapur y Hong Kong, lo que indica una rápida adopción operativa desde que el proyecto fue creado en noviembre de 2025.
Según su repositorio oficial en GitHub, la plataforma está construida en Go e integra más de 100 herramientas de seguridad, cubriendo todo el ciclo de vida de un ataque. Incluye un motor de orquestación inteligente, pruebas basadas en roles predefinidos, un sistema de habilidades especializadas y capacidades completas de gestión. CyberStrikeAI permite automatizar desde el descubrimiento de vulnerabilidades hasta el análisis de la cadena de ataque y la visualización de resultados, esencialmente empaquetando un arsenal de hacking en una sola herramienta accesible.
El perfil del desarrollador, que utiliza el alias "Ed1s0nZ", revela un claro interés en herramientas de explotación. Además de CyberStrikeAI, ha publicado proyectos como PrivHunterAI e InfiltrateX, ambos diseñados para detectar vulnerabilidades de escalada de privilegios utilizando modelos de IA. Más preocupante aún, las actividades de Ed1s0nZ en GitHub muestran interacciones con organizaciones vinculadas a operaciones cibernéticas patrocinadas por el estado chino, como la firma de seguridad Knownsec, que según informes previos trabaja para el Ministerio de Seguridad del Estado (MSS) y el Ejército Popular de Liberación (PLA).
La conexión estatal se ve reforzada por un premio que el desarrollador recibió de la Base de Datos Nacional de Vulnerabilidades de China (CNNVD), una entidad supervisada por el MSS. Aunque Ed1s0nZ eliminó posteriormente la referencia a este premio de su perfil, el rastro digital sugiere un intento de ofuscar estos vínculos. Esta conexión es crítica, ya que la CNNVD ha sido señalada por retener la divulgación de vulnerabilidades zero-day para su posible uso por parte de agencias gubernamentales chinas. La aparición de CyberStrikeAI representa una evolución significativa en el panorama de amenazas, poniendo herramientas de ataque automatizadas y potenciadas por IA al alcance de un espectro más amplio de actores. Para los equipos de seguridad en América Latina y el resto del mundo, esto significa que la barrera de entrada para ejecutar ataques complejos contra la infraestructura de red se ha reducido drásticamente, obligando a los defensores a prepararse para un ritmo y escala de amenazas mucho mayores.
FUENTE ORIGINAL
Team Cymru↗CURADO POR
Alejandro Vargas