Sicherheitsforscher warnen vor dem Open-Source-Tool CyberStrikeAI, das von Cyberkriminellen zur Automatisierung von Angriffen eingesetzt wird. Dieselbe Bedrohungsgruppe nutzte die KI-Plattform bei der Kompromittierung von über 500 Fortinet-Firewalls.
Eine neue Bedrohung macht Sicherheitsexperten Sorgen: Das Open-Source-Tool CyberStrikeAI wird von Hackern zur Automatisierung gezielter Cyberangriffe missbraucht. Forscher des Unternehmens Team Cymru haben festgestellt, dass dieselbe Bedrohungsgruppe, die in den letzten Wochen mehr als 500 Fortinet-FortiGate-Firewalls kompromittiert hat, auch CyberStrikeAI einsetzt.
Die Verbindung wurde durch die Analyse von Netzwerkdaten hergestellt. Die IP-Adresse 212.11.64[.]250, die bei den Angriffen auf die FortiGate-Geräte verwendet wurde, führte auch einen CyberStrikeAI-Service auf Port 8080 aus. Die Angreifer nutzen dabei offenbar auch Infrastruktur in China, Singapur und Hongkong.
Besorgnis erregend ist die Funktionsweise von CyberStrikeAI: Das in Go entwickelte Tool vereint über 100 Sicherheitsinstrumente und verbindet sie mit einem KI-gesteuerten Orchestrierungs-Engine. Dies ermöglicht es auch weniger erfahrenen Angreifern, komplexe Angriffsketten zu automatisieren – von der Netzwerk-Aufklärung über Web-Tests bis hin zur Exploitation und Post-Exploitation-Aktivitäten. Das Tool unterstützt beliebte Frameworks wie Metasploit, Hashcat und Mimikatz sowie KI-Modelle von OpenAI, Anthropic und anderen Anbietern.
Will Thomas, Senior Threat Intelligence Advisor bei Team Cymru, betont die Gefahr: „Mit dem zunehmenden Einsatz von KI-nativen Orchestrierungs-Engines erwarten wir einen Anstieg bei automatisierten, KI-gesteuerten Angriffen auf anfällige Edge-Geräte wie Firewalls und VPN-Appliances.”
Die Forscher identifizierten zwischen Januar und Februar 2026 insgesamt 21 unterschiedliche IP-Adressen, auf denen CyberStrikeAI lief. Der Entwickler hinter dem Tool nutzt das Pseudonym „Ed1s0nZ” und hat eine Reihe weiterer KI-gestützter Sicherheitswerkzeuge wie PrivHunterAI und InfiltrateX veröffentlicht.
Die Verbindungen des Entwicklers zu chinesischen Cybersecurity-Organisationen und die Erwähnung eines CNNVD-Awards deuten auf mögliche staatliche Verbindungen hin. Für Sicherheitsverantwortliche bedeutet dies: Die Einstiegsbarriere für sophisticated Cyberangriffe sinkt dramatisch, wenn kommerzielle KI-Services von Angreifern aller Fähigkeitsstufen eingesetzt werden.
Quelle: BleepingComputer