Hacker Manfaatkan HexStrike-AI untuk Eksploitasi Cepat Celah N-Day
Para peretas kini semakin sering menggunakan HexStrike-AI, sebuah kerangka kerja keamanan ofensif berbasis AI, untuk mempercepat eksploitasi kerentanan n-day yang baru diumumkan. Aktivitas ini diungkap oleh Check Point Research, yang menemukan maraknya diskusi di forum gelap terkait pemanfaatan HexStrike-AI dalam serangan nyata.
Salah satu kasus yang disorot adalah eksploitasi cepat terhadap kerentanan Citrix NetScaler ADC dan Gateway seperti CVE-2025-7775, CVE-2025-7776, dan CVE-2025-8424. Data ShadowServer menunjukkan masih ada hampir 8.000 endpoint rentan terhadap CVE-2025-7775 per 2 September 2025, turun dari 28.000 endpoint hanya sepekan sebelumnya.
Dari Alat Legal Jadi Senjata
HexStrike-AI awalnya dikembangkan oleh peneliti keamanan siber Muhammad Osama sebagai alat red teaming legal. Framework ini memungkinkan integrasi agen AI untuk menjalankan lebih dari 150 alat keamanan siber secara otomatis dalam pengujian penetrasi dan deteksi kerentanan.
HexStrike-AI bekerja dengan model human-in-the-loop, menggunakan LLM eksternal melalui MCP untuk menciptakan siklus berkelanjutan: prompt → analisis → eksekusi → umpan balik. Klien HexStrike-AI juga memiliki fitur retry logic dan recovery handling agar tetap berfungsi meski terjadi kegagalan pada salah satu langkah.
Meski dirilis sebagai proyek open-source di GitHub sejak sebulan lalu—dengan lebih dari 1.800 bintang dan 400 fork—alat ini kini juga menarik perhatian peretas. Diskusi di forum peretasan menunjukkan bagaimana HexStrike-AI dimanfaatkan untuk mengeksploitasi kerentanan Citrix hanya dalam hitungan jam setelah pengungkapan publik.
Eksploitasi Otomatisasi
Menurut Check Point, peretas menggunakan HexStrike-AI untuk meraih remote code execution tanpa autentikasi melalui CVE-2025-7775, kemudian menanamkan webshell pada perangkat yang berhasil ditembus. Beberapa bahkan menawarkan instans NetScaler yang telah dikompromikan untuk dijual.
Framework ini diduga digunakan untuk mengotomatisasi seluruh rantai serangan, mulai dari pemindaian target rentan, pembuatan eksploit, pengiriman payload, hingga mempertahankan akses. Walau keterlibatan HexStrike-AI belum sepenuhnya dikonfirmasi, tingkat otomatisasi seperti ini dapat memangkas waktu eksploitasi n-day dari hitungan hari menjadi hanya beberapa menit.
Hal ini mempersempit jendela waktu administrator sistem untuk melakukan patch sebelum terjadi serangan masif. “Jarak antara pengungkapan dan eksploitasi massal menyusut secara dramatis,” jelas Check Point. Mereka menambahkan, serangan terhadap CVE-2025-7775 sudah berlangsung aktif, dan dengan HexStrike-AI jumlah serangan diperkirakan akan meningkat tajam dalam beberapa hari ke depan.
Peringatan untuk Pertahanan
Check Point menekankan bahwa patching cepat tetap krusial, namun paradigma baru ini menunjukkan pentingnya pertahanan yang lebih menyeluruh. Rekomendasi yang disarankan mencakup:
- Memanfaatkan intelijen ancaman untuk deteksi dini.
- Menggunakan pertahanan berbasis AI untuk menghadapi serangan otomatisasi.
