Uma nova plataforma de testes de segurança em código aberto, apelidada de CyberStrikeAI, está a ser utilizada pelo mesmo grupo de piratas informáticos responsável por comprometer centenas de firewalls FortiGate da Fortinet recentemente. A ferramenta, que tira partido da inteligência artificial, promete baixar drasticamente a barreira de entrada para a realização de ciberataques complexos.
Segundo um relatório publicado pela Team Cymru, o mesmo endereço IP (212.11.64.250) usado na campanha contra mais de 500 equipamentos da Fortinet foi detetado a correr esta nova plataforma. Através da análise de dados de rede, os investigadores encontraram o serviço da CyberStrikeAI a operar no porto 8080 desse servidor, observando comunicações diretas entre este endereço e os equipamentos alvo. A infraestrutura ligada a estes ataques foi vista a utilizar a plataforma pela última vez a 30 de janeiro de 2026.
Automação de ataques ao alcance de qualquer um
A página do projeto no GitHub descreve a CyberStrikeAI como uma plataforma de testes de segurança construída em Go e nativa em inteligência artificial. O sistema integra mais de 100 ferramentas conhecidas no mundo da cibersegurança, como o nmap, sqlmap, metasploit e mimikatz. O grande diferencial está no facto de incluir um motor de decisão compatível com modelos como o GPT, o Claude e o DeepSeek.
Esta combinação permite criar uma automação de ponta a ponta, desde a descoberta de vulnerabilidades até à execução e análise da cadeia de ataque. Para os investigadores, motores de orquestração como este são um perigo real, pois permitem que até operadores com poucos conhecimentos técnicos consigam realizar ataques automatizados contra equipamentos expostos na internet, como firewalls e redes privadas virtuais (VPN).
Entre 20 de janeiro e 26 de fevereiro de 2026, foram identificados 21 endereços IP únicos a correr a CyberStrikeAI. A grande maioria dos servidores estava localizada na China, em Singapura e em Hong Kong, embora também tenha sido detetada infraestrutura nos Estados Unidos, no Japão e na Europa.
O perfil do criador e as suspeitas de ligações estatais
A investigação também analisou o perfil do programador da ferramenta, conhecido pelo pseudónimo "Ed1s0nZ". Este utilizador tem no seu histórico outros projetos focados na escalada de privilégios com o auxílio de IA, como o PrivHunterAI e o InfiltrateX. A sua atividade no GitHub sugere ligações a organizações previamente associadas a operações cibernéticas do governo chinês.
Em dezembro de 2025, o criador partilhou a CyberStrikeAI com o "Starlink Project" da Knownsec 404, uma empresa chinesa de cibersegurança com alegadas ligações estatais. Mais tarde, a 5 de janeiro de 2026, o programador chegou a mencionar no seu perfil ter recebido um prémio da Base de Dados Nacional de Vulnerabilidades da China (CNNVD), uma entidade que se acredita ser operada pelos serviços de inteligência do país. A referência ao prémio acabou por ser removida posteriormente.
O caso da CyberStrikeAI é apenas mais um exemplo de como a inteligência artificial está a ser adotada por agentes maliciosos. Recorde-se que, no mês passado, a Google já tinha alertado que vários grupos estão a abusar do Gemini em várias fases de ciberataques, aumentando assim a capacidade de destruição de piratas com diferentes níveis de experiência.
Nenhum comentário
Seja o primeiro!