Para peneliti memperingatkan bahwa platform pengujian keamanan AI open-source yang baru diidentifikasi bernama CyberStrikeAI digunakan oleh pelaku ancaman yang sama di balik kampanye baru-baru ini yang melanggar ratusan firewall Fortinet FortiGate.
Bulan lalu, BleepingComputer melaporkan sebuah Operasi peretasan yang dibantu AI yang membahayakan lebih dari 500 perangkat FortiGate dalam lima minggu. Pelaku ancaman di balik kampanye ini menggunakan beberapa server, termasuk server web di 212.11.64[.]250.
Di sebuah laporan baruPenasihat Senior Ancaman Intel untuk Tim Cymru, Will Thomas (alias BushidoToken), mengatakan bahwa alamat IP yang sama diamati saat menjalankan platform pengujian keamanan bertenaga AI CyberStrikeAI yang relatif baru.
Menganalisis data NetFlow, Tim Cymru mengidentifikasi spanduk layanan “CyberStrikeAI” yang berjalan pada port 8080 pada 212.11.64[.]250 dan melihat komunikasi jaringan antara IP tersebut dan perangkat Fortinet FortiGate yang ditargetkan oleh pelaku ancaman. Infrastruktur kampanye FortiGate terakhir kali terlihat menjalankan CyberStrikeAI pada 30 Januari 2026.
CyberStrikeAI Repositori GitHub menggambarkan dirinya sebagai “platform pengujian keamanan asli AI yang dibangun di Go” yang mengintegrasikan lebih dari 100 alat keamanan, mesin orkestrasi cerdas, peran keamanan yang telah ditentukan sebelumnya, dan sistem keterampilan.
“Melalui protokol MCP asli dan agen AI, hal ini memungkinkan otomatisasi menyeluruh mulai dari perintah percakapan hingga penemuan kerentanan, analisis rantai serangan, pengambilan pengetahuan, dan visualisasi hasil—menghadirkan lingkungan pengujian yang dapat diaudit, dapat dilacak, dan kolaboratif untuk tim keamanan,” demikian bunyi deskripsi proyek. Alat ini mencakup mesin keputusan AI yang kompatibel dengan model seperti GPT, Claude, dan DeepSeek, UI web yang dilindungi kata sandi dengan logging audit dan persistensi SQLite, serta dasbor untuk manajemen kerentanan, orkestrasi tugas, dan visualisasi rantai serangan.
Peralatannya memungkinkannya melakukan rantai serangan penuh, termasuk pemindaian jaringan (nmap, masscan), pengujian web dan aplikasi (sqlmap, nikto, gobuster), kerangka kerja eksploitasi (metasploit, pwntools), alat peretas kata sandi (hashcat, john), dan kerangka kerja pasca-eksploitasi (mimikatz, bloodhound, impacket).
Dengan menggabungkan alat-alat ini dengan agen AI dan orkestrator, CyberStrikeAI memungkinkan operator, bahkan operator berketerampilan rendah, untuk mengotomatisasi serangan terhadap target. Tim Cymru memperingatkan bahwa mesin orkestrasi asli AI seperti ini dapat mempercepat penargetan otomatis perangkat edge yang terbuka, termasuk firewall dan peralatan VPN.
Para peneliti mengatakan mereka mengamati 21 alamat IP unik yang menjalankan CyberStrikeAI antara 20 Januari dan 26 Februari 2026, dengan server yang sebagian besar dihosting di Tiongkok, Singapura, dan Hong Kong. Infrastruktur tambahan terlihat di Amerika Serikat, Jepang, dan Eropa.
“Seiring dengan semakin banyaknya musuh yang menggunakan mesin orkestrasi asli AI, kami memperkirakan akan terjadi peningkatan penargetan otomatis yang digerakkan oleh AI terhadap perangkat edge yang rentan, serupa dengan pengamatan dan penargetan peralatan Fortinet FortiGate,” jelas Thomas.
“Dalam waktu dekat, para pembela HAM harus bersiap menghadapi lingkungan di mana alat seperti CyberStrikeAI, bersama dengan proyek eskalasi hak istimewa yang dibantu AI lainnya dari pengembang seperti PrivHunterAI dan InfiltrateX, secara signifikan menurunkan hambatan masuk untuk eksploitasi jaringan yang kompleks.”
Para peneliti juga memeriksa profil pengembang CyberStrikeAI, yang menggunakan nama samaran “Ed1s0nZ.”
Berdasarkan repositori publik yang ditautkan ke akun, pengembang telah mengerjakan alat keamanan tambahan yang dibantu AI, termasuk PrivHunterAI, yang menggunakan model AI untuk mendeteksi kerentanan eskalasi hak istimewa, dan InfiltrateX, alat pemindaian eskalasi hak istimewa.
Menurut Tim Cymru, aktivitas GitHub pengembang menunjukkan interaksi dengan organisasi yang sebelumnya terkait dengan operasi siber yang berafiliasi dengan pemerintah Tiongkok.
Pada bulan Desember 2025, pengembang membagikan CyberStrikeAI dengan “Proyek Starlink” Knownsec 404. Knownsec adalah perusahaan keamanan siber Tiongkok yang diduga melakukan hal tersebut hubungan dengan pemerintah Tiongkok.
Pada tanggal 5 Januari 2026, pengembang menyebutkan menerima “Program Hadiah Kerentanan CNNVD 2024 – Penghargaan Kontribusi Tingkat 2” di profil GitHub mereka.
Basis Data Kerentanan Nasional Tiongkok (CNNVD) adalah diyakini dioperasikan oleh komunitas intelijen Tiongkokyang diduga menggunakannya untuk mengidentifikasi kerentanan dalam operasinya. Tim Cymru mengatakan referensi ke CNNVD kemudian dihapus dari profil pengembang.
Repositori GitHub pengembang sebagian besar ditulis dalam bahasa Mandarin, menunjukkan bahwa mereka adalah pengembang berbahasa Mandarin, dan interaksi dengan organisasi keamanan siber dalam negeri bukanlah hal yang aneh.
Alat keamanan siber baru yang didukung AI ini terus menunjukkan bagaimana layanan AI komersial semakin banyak digunakan oleh pelaku ancaman untuk mengotomatisasi serangan mereka sekaligus, pada saat yang sama, menurunkan hambatan untuk masuk.
Bulan lalu, Google juga melaporkan bahwa pelaku ancaman menyalahgunakan AI Gemini di semua tahap serangan siber, sehingga memberdayakan kemampuan pelaku ancaman di semua tingkat keahlian.
Laporan Merah 2026: Mengapa Enkripsi Ransomware Turun 38%
Malware semakin pintar. Laporan Merah 2026 mengungkapkan bagaimana ancaman baru menggunakan matematika untuk mendeteksi kotak pasir dan bersembunyi di depan mata.
Unduh analisis kami terhadap 1,1 juta sampel berbahaya untuk mengungkap 10 teknik teratas dan lihat apakah tumpukan keamanan Anda tidak diketahui.
