Campanha assistida por IA usou varredura em massa contra appliances Fortinet FortiGate e comprometeu mais de 600 dispositivos, com infraestrutura observada principalmente na Ásia.
| Componente | Appliances Fortinet FortiGate e a plataforma ofensiva de código aberto CyberStrikeAI, escrita em Go e integrada a mais de 100 ferramentas de segurança. |
| Vetor | Varredura automatizada em massa contra dispositivos FortiGate vulneráveis, com uso de serviços de IA generativa e infraestrutura associada a endereços IP operando CyberStrikeAI. |
| Impacto | Mais de 600 appliances FortiGate foram comprometidos em 55 países na campanha descrita no contexto técnico. |
| Prioridade | Inventariar FortiGate expostos, investigar atividade de varredura e correlar telemetria entre 20 de janeiro e 26 de fevereiro de 2026. |
| Infraestrutura | Foram observados 21 endereços IP únicos executando CyberStrikeAI, com servidores principalmente na China, Singapura e Hong Kong, além de registros nos Estados Unidos, Japão e Suíça. |
| Artefato | O endereço 212.11.64[.]250 foi associado à varredura automatizada contra appliances vulneráveis. |
A campanha analisada envolve o uso de CyberStrikeAI, uma plataforma ofensiva de código aberto construída em Go e descrita como nativa para fluxos assistidos por inteligência artificial. O conjunto foi associado a ataques automatizados contra appliances Fortinet FortiGate e aparece como peça operacional em uma atividade mais ampla que combinou varredura em massa, serviços de IA generativa e tentativa sistemática de identificar dispositivos vulneráveis. O caso é relevante porque desloca parte do trabalho de reconhecimento, encadeamento de ataque e análise de resultados para ferramentas que integram automação, modelos de linguagem e módulos tradicionais de segurança ofensiva.
A atividade citada no contexto comprometeu mais de 600 dispositivos FortiGate em 55 países. A infraestrutura vinculada ao uso do CyberStrikeAI foi observada entre 20 de janeiro e 26 de fevereiro de 2026, com 21 endereços IP únicos executando a ferramenta. A maior concentração dos servidores apareceu na China, em Singapura e em Hong Kong, com presença adicional nos Estados Unidos, Japão e Suíça. Um dos endereços destacados, 212.11.64[.]250, foi usado para varredura automatizada contra appliances vulneráveis e deve ser tratado como indicador defangado para correlação defensiva, não como link ativo.
O ponto técnico central não é apenas a existência de uma ferramenta de código aberto, mas a forma como ela foi incorporada a uma operação contra equipamentos de borda. Appliances FortiGate normalmente concentram funções de VPN, inspeção de tráfego, controle de acesso e administração remota; quando ficam expostos e vulneráveis, tornam-se alvos de alto valor para reconhecimento, acesso inicial e persistência. O contexto não informa CVE, versão afetada, payload específico ou cadeia completa de exploração, portanto a leitura defensiva deve permanecer limitada aos fatos confirmados: houve varredura automatizada, uso de IA generativa, emprego do CyberStrikeAI e comprometimento de dispositivos FortiGate.
O fluxo observado começa com a identificação em massa de appliances FortiGate vulneráveis. A operação foi descrita como assistida por IA e envolveu serviços de IA generativa, incluindo Anthropic Claude e DeepSeek, usados pelo operador desconhecido para sistematizar a atividade contra os dispositivos. O contexto não permite afirmar quais prompts, comandos ou módulos específicos foram usados, nem qual falha técnica inicial permitiu o comprometimento. Ainda assim, a combinação de varredura automatizada, ferramentas integradas e análise orientada por IA indica um ciclo de trabalho no qual o operador tenta reduzir o tempo entre descoberta, triagem de alvos e execução de etapas subsequentes.
CyberStrikeAI amplia esse fluxo ao reunir mais de 100 ferramentas de segurança em uma plataforma voltada a descoberta de vulnerabilidades, análise de cadeias de ataque, recuperação de conhecimento e visualização de resultados. Em uma operação contra appliances de borda, esse tipo de integração pode permitir que resultados de varredura sejam organizados rapidamente, que alvos sejam priorizados e que evidências técnicas sejam consolidadas em painéis ou relatórios operacionais. O uso defensivo dessa informação é entender que logs isolados de varredura podem ser apenas a primeira camada de uma cadeia maior, especialmente quando múltiplos endereços de origem, ferramentas automatizadas e consultas repetidas aparecem em curto intervalo.
O mantenedor público do CyberStrikeAI usa o alias Ed1s0nZ e também publicou outros projetos relacionados a exploração, detecção de escalonamento de privilégio, monitoramento de exposição de informações sensíveis e tentativas de contornar restrições de modelos de IA. O contexto menciona modificações recentes em um arquivo README.md para remover referências a reconhecimento ligado à CNNVD, base chinesa de vulnerabilidades supervisionada pelo Ministério de Segurança do Estado. Esses elementos não provam por si só controle estatal da campanha contra FortiGate, mas ajudam a delimitar o ecossistema técnico em torno da ferramenta e os motivos pelos quais sua adoção por operadores ofensivos merece acompanhamento próximo.
A superfície principal envolve appliances Fortinet FortiGate acessíveis a partir da internet ou de redes onde a varredura automatizada consiga alcançar interfaces expostas. Como o contexto não lista versões, CVEs, configurações específicas ou serviços explorados, a triagem defensiva deve partir do inventário real da organização: quais dispositivos FortiGate existem, quais interfaces estão publicadas, quais perfis administrativos são permitidos, quais endereços de origem conseguem alcançá-los e quais eventos ocorreram no período citado. Ambientes com administração remota ampla, regras permissivas e baixa retenção de logs ficam em desvantagem porque perdem visibilidade sobre a fase inicial de reconhecimento.
A infraestrutura observada executando CyberStrikeAI foi distribuída por vários países, o que reduz o valor de bloqueios geográficos simples como controle único. A presença de servidores na China, Singapura, Hong Kong, Estados Unidos, Japão e Suíça indica que a defesa deve trabalhar com comportamento e telemetria, não apenas com localização de IP. Em redes corporativas, isso significa correlacionar picos de requisições a appliances, erros de autenticação, tentativas de acesso administrativo, alterações de configuração e sessões incomuns de VPN ou gerenciamento.
- Appliances Fortinet FortiGate expostos a varredura externa ou alcançáveis por infraestrutura automatizada.
- Interfaces administrativas, VPNs e serviços publicados nos dispositivos FortiGate sob investigação.
- Janelas de telemetria entre 20 de janeiro e 26 de fevereiro de 2026, quando endereços executando CyberStrikeAI foram observados.
- Tráfego relacionado ao indicador defangado 212.11.64[.]250 e a outros endereços de varredura identificados internamente.
A busca defensiva deve priorizar sinais de varredura e interação repetitiva com appliances FortiGate, especialmente quando houver sequência de requisições de reconhecimento, falhas de autenticação, mudanças súbitas no volume de tráfego para interfaces sensíveis ou acessos administrativos fora do padrão. Como não há payload ou CVE no contexto, regras específicas de exploração seriam especulativas. O caminho mais confiável é reconstruir a linha do tempo por dispositivo e comparar eventos de rede, logs do appliance, autenticação, VPN, firewall e sistemas de gerenciamento.
Equipes de segurança também devem procurar indícios de automação. Isso inclui múltiplos alvos consultados a partir da mesma origem, padrões de requisição similares entre appliances, user agents incomuns quando disponíveis, intervalos regulares entre tentativas e variações rápidas de origem. A correlação com inteligência de ameaças deve usar indicadores defangados e listas internas validadas, evitando transformar qualquer tráfego proveniente dos países citados em evidência de comprometimento. A prioridade é separar reconhecimento, tentativa de exploração e acesso efetivo, porque cada fase exige resposta diferente.
- Aumento de requisições contra interfaces FortiGate expostas, principalmente em janelas curtas e contra múltiplos dispositivos.
- Tentativas de autenticação administrativas ou de VPN incompatíveis com padrões normais de origem, horário e conta.
- Alterações de configuração, criação de contas, mudanças em políticas ou eventos administrativos sem solicitação operacional correspondente.
- Conexões ou varreduras envolvendo 212.11.64[.]250, tratado como indicador defangado para correlação local.
- Sequências repetitivas de erro, enumeração ou sondagem que indiquem uso de ferramenta automatizada.
A resposta deve começar pelo inventário dos appliances FortiGate e pela redução da exposição administrativa. Organizações devem confirmar quais dispositivos estão acessíveis externamente, revisar regras que permitam gerenciamento remoto, restringir origens autorizadas e validar se os controles de autenticação e auditoria estão ativos. Como o contexto não informa uma versão vulnerável ou CVE, não é correto prescrever uma correção específica; ainda assim, manter os appliances dentro dos ramos suportados e com atualizações aplicáveis é uma exigência básica para reduzir o risco de exploração conhecida.
Após o inventário, a equipe deve reconstruir a telemetria do período de interesse, verificar sinais de acesso não autorizado e validar a integridade das configurações. Quando houver indício de comprometimento, a contenção deve incluir isolamento lógico do dispositivo, revisão de contas e sessões, troca de credenciais administrativas e inspeção de túneis, políticas e rotas configuradas. A investigação precisa tratar o FortiGate como possível ponto de entrada, mas sem presumir vazamento de dados ou movimentação lateral se a telemetria não sustentar essas conclusões.
A lição operacional é que ferramentas ofensivas assistidas por IA tornam mais barato escalar reconhecimento e triagem. A defesa deve responder com controles que dificultem automação: superfície mínima exposta, autenticação forte, logging suficiente, alertas de comportamento anômalo e processo de atualização disciplinado. Bloqueios de IP podem ajudar quando os indicadores são confirmados, mas não substituem correção, revisão de configuração e capacidade de detectar novas origens usando o mesmo padrão técnico.
- Inventariar todos os appliances FortiGate e mapear quais interfaces estão expostas à internet ou a redes não confiáveis.
- Restringir gerenciamento remoto a origens autorizadas e revisar autenticação, contas administrativas e sessões ativas.
- Correlacionar logs entre 20 de janeiro e 26 de fevereiro de 2026 para identificar varredura, tentativa de acesso e alteração de configuração.
- Aplicar atualizações e correções Fortinet pertinentes ao ambiente, sem assumir CVE específico ausente no contexto.
- Tratar indicadores como apoio à investigação, mantendo foco em comportamento observável e evidência de comprometimento.
0 Comentários