La campagne FortiGate augmentée par l’IA s’appuyait sur l’outil CyberStrikeAI

Souvenez-vous : tout récemment, Amazon Threat Intelligence disait avoir « observé un acteur malveillant russophone motivé par des intérêts financiers qui a exploité plusieurs services commerciaux d’IA générative, pour compromettre plus de 600 appareils FortiGate dans plus de 55 pays entre le 11 janvier et le 18 février 2026 ».

Certes, expliquait alors AWS, « aucune exploitation des vulnérabilités FortiGate n’a été observée », mais « cette campagne a plutôt réussi en exploitant les ports d’administration exposés et des identifiants faibles avec une authentification à un seul facteur, des failles de sécurité fondamentales qu’un acteur peu sophistiqué a pu exploiter à grande échelle grâce à l’IA ».

L’originalité ? « Cette activité se distingue par l’utilisation par l’acteur malveillant de plusieurs services GenAI commerciaux afin de mettre en œuvre et adapter des techniques d’attaque bien connues à chaque phase de ses opérations, malgré ses capacités techniques limitées ».

Les équipes de Team Cymru ont une piste. C’est Will Thomas, aussi connu sous le pseudonyme de BushidoToken et conseiller senior en recherche sur les menaces de l’entreprise, qui l’explique dans un billet de blog : l’analyse de l’adresse IP mentionnée par AWS renvoie à un outil, CyberStrikeAI.

Cet outil en sources ouvertes, distribué sur GitHub, se décrit lui-même comme « une plateforme de test de sécurité native IA développée en Go » qui « intègre plus de 100 outils de sécurité, un moteur d'orchestration intelligent, des tests basés sur des rôles avec des rôles de sécurité prédéfinis, un système de compétences avec des compétences de test spécialisées et des capacités complètes de gestion du cycle de vie ».

Les équipes du spécialiste du renseignement sur les menaces ont pu confirmer : « à l'aide de Team Cymru Scout, nous pouvons trouver les communications NetFlow entre l'adresse IP partagée par Amazon et ses cibles, telles que les appareils Fortinet FortiGate qui ont été observés comme cibles ».

Mais alors, le développeur de CyberStrikeAI serait-il lié à la campagne signalée par AWS ? Will Thomas observe que « plusieurs activités sur GitHub pourraient relier Ed1s0nZ [le développeur de la plateforme de test, N.D.L.R.] aux cyberopérations soutenues par l'État chinois ». Ainsi, indique-t-il, « le 19 décembre 2025, Ed1s0nZ a publié CyberStrikeAI sur le projet Starlink de Knownsec 404 […]. D'après les rapports publiés par DomainTools et d'autres sources, Knownsec travaille pour le MSS et l'Armée populaire de libération (APL) chinoise ».

En outre, CyberStrikeAI a été rendu public le 8 novembre dernier. Si les traces d’une utilisation à ce moment-là sont limitées, tout change fin janvier : « du 20 janvier 2026 à la fin de cette évaluation, le 26 février 2026, nous avons observé 21 adresses IP uniques exécutant CyberStrikeAI ». Avec une nette sur-représentation de la Chine, suivie de Singapour.

Que son développeur soit indépendant ou pas, selon Will Thomas, « l'adoption de CyberStrikeAI devrait s'accélérer, ce qui représente une évolution préoccupante dans la prolifération des outils de sécurité offensive augmentés par l'IA ».

Pour lui, une chose est sûre : « alors que les adversaires adoptent de plus en plus les moteurs d'orchestration natifs de l'IA, nous nous attendons à une augmentation des attaques automatisées et basées sur l'IA visant les périphériques vulnérables, à l'instar de la reconnaissance et du ciblage observés sur les appliances Fortinet FortiGate ».

Concrètement ? « Dans un avenir proche, les défenseurs doivent se préparer à un environnement dans lequel des outils tels que CyberStrikeAI, ainsi que d'autres projets d'élévation de privilèges assistés par l'IA développés par le même auteur, tels que PrivHunterAI et InfiltrateX, réduisent considérablement les obstacles à l'exploitation de réseaux complexes ».