IA all’attacco: CyberStrikeAI, legata alla Cina, alimenta attacchi globali a FortiGate

Quando una misteriosa ondata di attacchi informatici ha travolto il mondo, prendendo di mira dispositivi FortiGate critici in 55 Paesi, in pochi hanno capito che un potente strumento open source proveniente dalla Cina era silenziosamente al centro della tempesta. Lo strumento, CyberStrikeAI, non si è limitato ad automatizzare l’hacking: ha trasformato l’intelligenza artificiale in un’arma per un’infiltrazione digitale senza precedenti, sollevando interrogativi urgenti sul futuro della guerra cibernetica e sui confini sempre più sfumati tra ricerca e cybercriminalità.

Gli investigatori di Team Cymru e Amazon Threat Intelligence hanno ricostruito le origini della campagna tracciando scansioni automatizzate sospette fino a un indirizzo IP associato a un attore malevolo russofono. Ma la vera sorpresa è arrivata quando hanno scoperto il kit dell’attaccante: CyberStrikeAI, una piattaforma nativa per l’IA disponibile apertamente su GitHub, costruita in Go e capace di orchestrare attacchi sofisticati e multi-fase.

Il creatore di CyberStrikeAI, “Ed1s0nZ”, mantiene una raccolta di strumenti con un chiaro focus su exploit e jailbreaking dei modelli di IA. Il suo codebase include ransomware, scanner per l’escalation dei privilegi e utility per esfiltrare o applicare watermark a dati sensibili. In particolare, Ed1s0nZ ha interagito con aziende cinesi direttamente legate al Ministero della Sicurezza di Stato, tra cui Knownsec 404 - una società emersa in una grande fuga di dati come oscuro contractor per operazioni di intelligence e militari cinesi.

La sofisticazione di CyberStrikeAI risiede nella sua integrazione fluida di oltre 100 strumenti di sicurezza e nella capacità di sfruttare modelli di IA all’avanguardia per la scoperta di vulnerabilità. Gli attaccanti hanno utilizzato servizi di IA generativa come Anthropic Claude e DeepSeek per automatizzare ricognizione ed exploitation, consentendo loro di compromettere centinaia di appliance FortiGate con una velocità ed efficienza allarmanti.

Dietro le quinte, Ed1s0nZ ha cercato di ripulire i legami visibili con progetti sponsorizzati dallo Stato, rimuovendo riferimenti a premi del National Vulnerability Database cinese. I ricercatori di sicurezza interpretano questo come un tentativo deliberato di mascherare affiliazioni statali e preservare l’utilità operativa dello strumento mentre guadagna popolarità nei circoli hacker di tutto il mondo.

La portata della campagna e la rapida adozione dello strumento segnalano una nuova era inquietante: gli strumenti offensivi open source potenziati dall’IA non sono più minacce teoriche, ma agenti attivi di destabilizzazione cibernetica globale. Mentre sviluppatori sostenuti dagli Stati camminano sul filo tra “ricerca” e operazioni cyber nel mondo reale, l’infrastruttura digitale globale si trova di fronte a un campo di battaglia in evoluzione, dove l’intelligenza artificiale è al tempo stesso scudo e spada.

Man mano che il codice di CyberStrikeAI continua a diffondersi ed evolversi, difensori e decisori politici devono confrontarsi con una realtà netta: la democratizzazione degli strumenti di hacking basati su IA sta accelerando e la distinzione tra ricerca e militarizzazione sta svanendo. In questa nuova corsa agli armamenti, la linea tra open source e caccia aperta non è mai stata così sottile.

WIKICROOK

• Open: “Open” significa che software o codice sono disponibili pubblicamente, consentendo a chiunque di accedervi, modificarli o usarli - anche per scopi malevoli.
• FortiGate: FortiGate è la linea di appliance di sicurezza di Fortinet, che fornisce firewall, VPN e gestione unificata delle minacce per una solida protezione delle reti aziendali.
• IA generativa: L’IA generativa è un’intelligenza artificiale che crea nuovi contenuti - come testo, immagini o audio - spesso imitando creatività e stile umani.
• Escalation dei privilegi: L’escalation dei privilegi si verifica quando un attaccante ottiene un accesso di livello superiore, passando da un normale account utente ai privilegi di amministratore su un sistema o una rete.
• Jailbreaking: Il jailbreaking rimuove le restrizioni del dispositivo, permettendo agli utenti di installare app non autorizzate e personalizzare le impostazioni, ma può aumentare i rischi per la sicurezza.