Ein chinesisches Open-Source-Tool namens CyberStrikeAI wurde bei massiven, KI-gestützten Angriffen auf Fortinet FortiGate-Appliances weltweit eingesetzt. Das Tool wird von einem Entwickler mit mutmaßlichen Verbindungen zum chinesischen Staat betrieben.
Sicherheitsexperten haben nun konkrete Hinweise darauf gefunden, dass hinter der kürzlich bekannt gewordenen KI-gestützten Angriffswelle gegen Fortinet FortiGate-Geräte ein Open-Source-Tool namens CyberStrikeAI steckt. Das Team Cymru identifizierte die Software nach der Analyse einer IP-Adresse (212.11.64.250), die von einem russischsprachigen Angreifer für automatisierte Massenscans verwundbarer Geräte genutzt wurde.
CyberStrikeAI ist ein offensives Sicherheitstestwerkzeug, das von einem in China ansässigen Entwickler stammt und nach Einschätzung von Sicherheitsforscher Will Thomas Verbindungen zur chinesischen Regierung aufweist. Die Angriffe wurden publik, als Amazon Threat Intelligence im letzten Monat meldete, dass ein unbekannter Angreifer FortiGate-Geräte systematisch mit generativen KI-Diensten wie Anthropic Claude und DeepSeek ins Visier genommen und über 600 Appliances in 55 Ländern kompromittiert hat.
Nach GitHub-Informationen ist CyberStrikeAI in Go geschrieben und integriert über 100 Sicherheitstools für Schwachstellenerkennung, Angriffskettenanalyse und Ergebnisvisualisierung. Gepflegt wird das Projekt von einem Entwickler unter dem Pseudonym Ed1s0nZ. Team Cymru beobachtete zwischen 20. Januar und 26. Februar 2026 insgesamt 21 IP-Adressen, auf denen CyberStrikeAI lief – hauptsächlich auf Servern in China, Singapur und Hongkong, zusätzlich aber auch in den USA, Japan und der Schweiz.
Der Ed1s0nZ-Account hat neben CyberStrikeAI weitere Tools veröffentlicht, die ein starkes Interesse an Exploits und dem Jailbreaking von KI-Modellen belegen. Thomas weist darauf hin, dass die GitHub-Aktivitäten des Entwicklers zeigen, dass er mit Organisationen interagiert, die chinesische staatliche Cyberaktivitäten unterstützen – darunter Firmen des privaten chinesischen Sektors mit bekannten Verbindungen zum Ministerium für Staatssicherheit (MSS).
Ein solches Unternehmen ist Knownsec 404, ein chinesischer Sicherheitsanbieter, der Ende letzten Jahres Opfer eines massiven Datenlecks mit über 12.000 internen Dokumenten wurde. Das Leck offenbarte nicht nur Mitarbeiterdaten und Hacking-Tools, sondern auch gestohlene südkoreanische Gesprächsdaten und Informationen zu kritischen taiwanischen Infrastrukturen. DomainTools beschrieb Knownsec als einen „staatlich ausgerichteten Cyber-Auftragnehmer” mit Kapazitäten zur Unterstützung chinesischer Sicherheits-, Geheimdienst- und Militärziele.
Ed1s0nZ hat kürzlich Verweise auf einen Level-2-Beitragspreis der chinesischen nationalen Schwachstellendatenbank (CNNVD) aus seinem GitHub-Profil entfernt – ein Schritt, den Thomas als aktiven Versuch interpretiert, staatliche Verbindungen zu verschleiern. Mit wachsender Popularität des Tools könnte sich die Adoption von CyberStrikeAI beschleunigen und eine besorgniserregende Entwicklung in der Verbreitung KI-gestützter Offensiv-Werkzeuge darstellen.
Quelle: The Hacker News