Quando un tool offensivo viene adottato dal cybercrime, significa quasi sempre una cosa sola: funziona davvero bene. Ed è esattamente quello che sta succedendo con CyberStrikeAI, una piattaforma open source di sicurezza offensiva costruita nativamente attorno all'intelligenza artificiale, che negli ultimi mesi è finita sotto i riflettori per ragioni tutt'altro che rassicuranti. Tutto è partito da un'attività di scansione automatica su larga scala rivolta contro appliance Fortinet FortiGate vulnerabili. Non il classico tentativo isolato, ma qualcosa di organizzato, quasi metodico, che ha coinvolto oltre seicento dispositivi compromessi in cinquantacinque Paesi. Le indagini, pubblicate dal team di ricerca di Team Cymru, hanno ricostruito l'intera catena operativa. E il quadro che ne esce è piuttosto eloquente.

Come funziona CyberStrikeAI e perché fa parlare di sé

CyberStrikeAI è un framework sviluppato in Go che integra oltre cento strumenti di sicurezza sotto un unico motore di orchestrazione intelligente. La piattaforma permette di passare da semplici comandi conversazionali all'esecuzione completa di operazioni complesse: dalla scoperta di vulnerabilità all'analisi delle catene di attacco, fino alla visualizzazione dei risultati in una console web centralizzata. Tra le caratteristiche più interessanti c'è il modello basato sui ruoli. Esistono profili predefiniti per scenari diversi, dal penetration testing alle scansioni di applicazioni web, affiancati da un sistema di oltre venti skill specializzate che coprono tecniche come SQL injection, XSS o sicurezza delle API. Gli agenti AI possono richiamare queste skill durante le operazioni, rendendo il processo fluido e quasi completamente automatizzato.
Il progetto è mantenuto da uno sviluppatore noto come Ed1s0nZ. Nel suo spazio GitHub compaiono altri strumenti legati allo sfruttamento di vulnerabilità e persino al tentativo di aggirare i limiti dei modelli AI. Tra gennaio e febbraio 2026 sono stati individuati ventuno indirizzi IP unici che eseguivano CyberStrikeAI, ospitati soprattutto in Cina, Singapore e Hong Kong, con altri nodi negli Stati Uniti, in Giappone e in Svizzera. Le analisi citano anche interazioni con organizzazioni considerate vicine a operazioni cyber sponsorizzate dallo Stato cinese, inclusa Knownsec 404, società coinvolta in una massiccia fuga di documenti interni che ha rivelato dati sensibili e strumenti di hacking.

Il vero problema è la scala, non lo strumento in sé

Ogni giorno nascono nuovi tool open source sempre più potenti. Da una parte sono risorse preziose per i red team, che li impiegano per simulare attacchi e scovare debolezze nelle infrastrutture. Dall'altra, però, gli stessi strumenti finiscono inevitabilmente nelle mani di chi ha tutt'altre intenzioni. E qui sta il nodo della questione.
Una volta i team di sicurezza potevano organizzare attività mirate, analizzare ambienti specifici e contenere ragionevolmente le campagne malevole. Oggi, con piattaforme automatizzate e integrate con l'intelligenza artificiale come CyberStrikeAI, chi attacca può scandagliare Internet in modo massivo, individuare sistemi esposti e preparare offensive contro infrastrutture distribuite ovunque nel mondo. C'è poi un dato che fa riflettere parecchio: secondo una ricerca recente di Veracode, si stanno individuando più vulnerabilità di quante se ne riescano effettivamente a correggere. Questo squilibrio, combinato con strumenti automatizzati e AI, rischia di ampliare il divario tra chi difende e chi attacca. I criminali, va detto, non devono rispettare procedure, compliance o tempi aziendali, e questo li rende operativamente più rapidi.
Eppure non tutto il quadro è fosco. La stessa tecnologia che sta aumentando la pressione sulle difese può diventare l'arma principale per rafforzarle. L'intelligenza artificiale, se impiegata con criterio, può aiutare i team di sicurezza a individuare minacce prima, automatizzare analisi complesse e reagire con più velocità. La sfida dei prossimi anni sarà proprio questa: trasformare la scala della minaccia nella scala della difesa. Chi saprà farlo prima avrà un vantaggio che potrebbe fare davvero la differenza.

Read the full article

A critical FortiClientEMS vulnerability enabled remote attackers to execute commands through the web interface before patches resolved the exposure.

Source: Arctic Wolf

Read more: CyberSecBrief

Attackers exploited a critical FortiCloud SSO flaw to gain admin access to customer devices, even on fully patched systems.

Source: BleepingComputer

Read more: CyberSecBrief

A critical flaw in FortiOS and FortiSwitchManager could allow unauthenticated attackers to execute arbitrary code over the network.

Source: Arctic Wolf

Read more: CyberSecBrief