Peneliti keamanan memperingatkan bahwa platform open-source baru bernama CyberStrikeAI telah digunakan oleh aktor ancaman yang sama di balik kampanye peretasan ratusan perangkat Fortinet FortiGate.
Sebelumnya dilaporkan bahwa lebih dari 500 perangkat FortiGate berhasil dikompromikan dalam kurun lima minggu melalui operasi yang memanfaatkan kecerdasan buatan. Infrastruktur kampanye tersebut diketahui menggunakan server dengan alamat IP 212.11.64[.]250.
Dalam laporan terbaru, Senior Threat Intelligence Advisor dari Team Cymru, Will Thomas (alias BushidoToken), mengungkap bahwa alamat IP yang sama terdeteksi menjalankan layanan CyberStrikeAI di port 8080 Pasted text.
Platform Uji Keamanan Berbasis AI
CyberStrikeAI mendeskripsikan dirinya sebagai platform pengujian keamanan “AI-native” berbasis Go yang mengintegrasikan lebih dari 100 alat keamanan, mesin orkestrasi cerdas, peran keamanan terdefinisi, serta sistem skill.
Platform ini mendukung otomasi penuh, mulai dari perintah percakapan hingga penemuan kerentanan, analisis rantai serangan, pengambilan pengetahuan, dan visualisasi hasil. CyberStrikeAI juga memiliki mesin keputusan AI yang kompatibel dengan model seperti GPT, Claude, dan DeepSeek Pasted text.
Fitur lainnya mencakup antarmuka web dengan proteksi kata sandi, pencatatan audit, penyimpanan SQLite, serta dashboard untuk manajemen kerentanan dan orkestrasi tugas.
Otomatisasi Rantai Serangan Lengkap
Toolkit CyberStrikeAI memungkinkan pelaksanaan rantai serangan secara menyeluruh, termasuk:
- Pemindaian jaringan (nmap, masscan)
- Pengujian aplikasi web (sqlmap, nikto, gobuster)
- Framework eksploitasi (metasploit, pwntools)
- Peretasan kata sandi (hashcat, john)
- Post-exploitation (mimikatz, bloodhound, impacket)
Dengan kombinasi agen AI dan mesin orkestrasi, bahkan operator dengan keterampilan rendah dapat mengotomatisasi serangan terhadap target. Team Cymru memperingatkan bahwa mesin orkestrasi AI seperti ini berpotensi mempercepat penargetan perangkat edge yang terekspos, termasuk firewall dan perangkat VPN Pasted text.
Peneliti mengamati sedikitnya 21 alamat IP unik yang menjalankan CyberStrikeAI antara 20 Januari hingga 26 Februari 2026, dengan mayoritas server berlokasi di Tiongkok, Singapura, dan Hong Kong. Infrastruktur tambahan juga ditemukan di Amerika Serikat, Jepang, dan Eropa Pasted text.
Keterkaitan dengan Ekosistem Keamanan Tiongkok
Profil pengembang CyberStrikeAI yang menggunakan alias “Ed1s0nZ” turut diteliti. Berdasarkan repositori publik, pengembang tersebut juga mengembangkan alat berbasis AI lain seperti PrivHunterAI (deteksi eskalasi hak istimewa) dan InfiltrateX (pemindaian privilege escalation).
Pada Desember 2025, CyberStrikeAI dibagikan ke proyek “Starlink Project” milik Knownsec 404. Knownsec disebut memiliki dugaan keterkaitan dengan pemerintah Tiongkok Pasted text.
Pengembang juga sempat mencantumkan penerimaan penghargaan “CNNVD 2024 Vulnerability Reward Program – Level 2 Contribution Award” di profil GitHub, meski referensi tersebut kemudian dihapus. CNNVD diyakini dikelola oleh komunitas intelijen Tiongkok dan digunakan untuk mengidentifikasi kerentanan strategis Pasted text.
Meski repositori pengembang sebagian besar berbahasa Mandarin—yang tidak serta-merta menunjukkan keterlibatan negara—keterkaitan dengan organisasi domestik Tiongkok menarik perhatian peneliti.
AI Turunkan Hambatan Masuk Serangan
Peneliti menilai munculnya alat keamanan berbasis AI seperti CyberStrikeAI menunjukkan bagaimana layanan AI komersial semakin dimanfaatkan oleh pelaku ancaman untuk mengotomatisasi serangan sekaligus menurunkan hambatan teknis.
Dengan orkestrasi otomatis dan integrasi puluhan alat eksploitasi, potensi serangan terhadap perangkat edge yang rentan diperkirakan meningkat dalam waktu dekat.
Perkembangan ini memperkuat tren bahwa AI tidak hanya digunakan untuk pertahanan siber, tetapi juga untuk mempercepat dan menyederhanakan operasi ofensif oleh aktor ancaman di berbagai tingkat kemampuan.