-
16/07/2025
-
1
-
20 bài viết
Lộ diện CyberStrikeAI - nền tảng AI được sử dụng trong chiến dịch quét FortiGate tại 55 quốc gia
Sau khi chiến dịch xâm nhập hơn 600 thiết bị FortiGate tại 55 quốc gia được công bố hồi tháng 2/2026, các phân tích mới đã hé lộ một mắt xích quan trọng: Công cụ điều phối tấn công có tên CyberStrikeAI.
Nếu bản tin trước WhiteHat đã đưa tập trung vào cách kẻ tấn công lợi dụng cấu hình yếu và AI tạo sinh thương mại để mở rộng quy mô thì phát hiện lần này cho thấy chiến dịch không chỉ dựa vào prompt AI rời rạc, mà có thể được vận hành thông qua một framework tấn công hoàn chỉnh, tích hợp sẵn hàng trăm mô-đun kỹ thuật.
CyberStrikeAI được giới thiệu là một nền tảng kiểm thử và mô phỏng tấn công bảo mật (offensive security) mã nguồn mở, phát triển bằng ngôn ngữ Go, do tài khoản “Ed1s0nZ” công bố trên GitHub.
Về bản chất kỹ thuật, đây không phải một công cụ đơn lẻ mà là một framework tích hợp hơn 100 tiện ích bảo mật khác nhau, được thiết kế để tự động hóa quá trình đánh giá an ninh hệ thống theo hướng “giả lập kịch bản tấn công”.
Nếu bản tin trước WhiteHat đã đưa tập trung vào cách kẻ tấn công lợi dụng cấu hình yếu và AI tạo sinh thương mại để mở rộng quy mô thì phát hiện lần này cho thấy chiến dịch không chỉ dựa vào prompt AI rời rạc, mà có thể được vận hành thông qua một framework tấn công hoàn chỉnh, tích hợp sẵn hàng trăm mô-đun kỹ thuật.
CyberStrikeAI được giới thiệu là một nền tảng kiểm thử và mô phỏng tấn công bảo mật (offensive security) mã nguồn mở, phát triển bằng ngôn ngữ Go, do tài khoản “Ed1s0nZ” công bố trên GitHub.
Về bản chất kỹ thuật, đây không phải một công cụ đơn lẻ mà là một framework tích hợp hơn 100 tiện ích bảo mật khác nhau, được thiết kế để tự động hóa quá trình đánh giá an ninh hệ thống theo hướng “giả lập kịch bản tấn công”.
Cụ thể, nền tảng này có khả năng:
- Quét diện rộng các địa chỉ IP và dịch vụ đang phơi nhiễm trên Internet giúp nhanh chóng xác định các điểm có nguy cơ bị khai thác
- Phân tích chuỗi tấn công nhằm mô phỏng cách một đối tượng có thể đi từ điểm truy cập ban đầu đến mở rộng quyền kiểm soát trong hệ thống
- Thu thập, chuẩn hóa và tổng hợp dữ liệu kỹ thuật, phục vụ việc đánh giá lỗ hổng hoặc xây dựng báo cáo
- Trực quan hóa kết quả quét và phân tích, từ đó hỗ trợ lựa chọn mục tiêu ưu tiên trong quá trình kiểm thử
Trong môi trường nghiên cứu, những nền tảng như vậy thường được sử dụng để kiểm tra mức độ an toàn của hệ thống. Tuy nhiên khi rơi vào tay đối tượng xấu, khả năng tự động hóa và điều phối tập trung của công cụ có thể bị lợi dụng để mở rộng quy mô tấn công trong thời gian ngắn.
Nói cách khác, nếu AI tạo sinh giúp tin tặc viết mã nhanh hơn thì CyberStrikeAI đóng vai trò như “bảng điều khiển trung tâm”, nơi toàn bộ quy trình quét, khai thác, tổng hợp dữ liệu được bán tự động hóa.
Thông tin trước đây cho thấy nhóm nói tiếng Nga khai thác giao diện quản trị FortiGate phơi nhiễm Internet, brute-force thông tin đăng nhập và di chuyển ngang trong hệ thống. Tuy nhiên, phát hiện mới cho thấy quá trình quét diện rộng nhiều khả năng được triển khai thông qua CyberStrikeAI với ít nhất 21 địa chỉ IP vận hành công cụ này trong khoảng cuối tháng 1 đến cuối tháng 2/2026.
Điều này cho thấy chiến dịch không chỉ là việc “dùng AI hỗ trợ viết mã” mà là việc tận dụng một hệ sinh thái công cụ AI hóa hoàn chỉnh để mở rộng tốc độ và phạm vi tấn công.
Nhà phát triển CyberStrikeAI bị nghi ngờ có mối liên hệ với Knownsec 404 - một công ty an ninh mạng Trung Quốc từng bị rò rỉ tài liệu nội bộ. Dù chưa có bằng chứng cho thấy chiến dịch FortiGate phục vụ mục tiêu chiến lược giữa các quốc gia. Dù vậy, bối cảnh phát triển công cụ vẫn khiến cộng đồng an ninh mạng quốc tế theo dõi sát sao.
Diễn biến của vụ việc cho thấy trí tuệ nhân tạo không tạo ra phương thức xâm nhập hoàn toàn mới nhưng đang làm thay đổi tốc độ và quy mô của các kỹ thuật vốn đã quen thuộc. Những thao tác như quét diện rộng, thử thông tin đăng nhập hay tổng hợp dữ liệu cấu hình, trước đây cần nhiều thời gian và nhân lực thì nay có thể được tự động hóa và điều phối tập trung chỉ với vài công cụ tích hợp sẵn.
Điều này đồng nghĩa một tác nhân có năng lực trung bình vẫn có thể triển khai chiến dịch trên phạm vi toàn cầu nếu hệ thống mục tiêu tồn tại sơ hở cơ bản.
Đối với các cơ quan, doanh nghiệp tại Việt Nam đang sử dụng thiết bị FortiGate, rủi ro lớn nhất không nằm ở các lỗ hổng zero-day phức tạp, mà ở những vấn đề quản trị quen thuộc: giao diện quản trị phơi nhiễm Internet, chưa kích hoạt xác thực đa yếu tố (MFA), mật khẩu tái sử dụng hoặc thiếu cơ chế giám sát truy cập bất thường.
Trong bối cảnh hạ tầng mạng ngày càng mở rộng và phân tán, các công cụ tấn công “đóng gói sẵn” kết hợp AI có thể nhanh chóng khuếch đại một sai sót nhỏ thành sự cố diện rộng. Vì vậy, việc rà soát cấu hình, giới hạn quyền truy cập từ xa, cập nhật bản vá và tăng cường giám sát an ninh cần được xem là biện pháp nền tảng, thay vì chỉ tập trung vào các kịch bản tấn công tinh vi.
Nói cách khác, nếu AI tạo sinh giúp tin tặc viết mã nhanh hơn thì CyberStrikeAI đóng vai trò như “bảng điều khiển trung tâm”, nơi toàn bộ quy trình quét, khai thác, tổng hợp dữ liệu được bán tự động hóa.
Thông tin trước đây cho thấy nhóm nói tiếng Nga khai thác giao diện quản trị FortiGate phơi nhiễm Internet, brute-force thông tin đăng nhập và di chuyển ngang trong hệ thống. Tuy nhiên, phát hiện mới cho thấy quá trình quét diện rộng nhiều khả năng được triển khai thông qua CyberStrikeAI với ít nhất 21 địa chỉ IP vận hành công cụ này trong khoảng cuối tháng 1 đến cuối tháng 2/2026.
Điều này cho thấy chiến dịch không chỉ là việc “dùng AI hỗ trợ viết mã” mà là việc tận dụng một hệ sinh thái công cụ AI hóa hoàn chỉnh để mở rộng tốc độ và phạm vi tấn công.
Nhà phát triển CyberStrikeAI bị nghi ngờ có mối liên hệ với Knownsec 404 - một công ty an ninh mạng Trung Quốc từng bị rò rỉ tài liệu nội bộ. Dù chưa có bằng chứng cho thấy chiến dịch FortiGate phục vụ mục tiêu chiến lược giữa các quốc gia. Dù vậy, bối cảnh phát triển công cụ vẫn khiến cộng đồng an ninh mạng quốc tế theo dõi sát sao.
Diễn biến của vụ việc cho thấy trí tuệ nhân tạo không tạo ra phương thức xâm nhập hoàn toàn mới nhưng đang làm thay đổi tốc độ và quy mô của các kỹ thuật vốn đã quen thuộc. Những thao tác như quét diện rộng, thử thông tin đăng nhập hay tổng hợp dữ liệu cấu hình, trước đây cần nhiều thời gian và nhân lực thì nay có thể được tự động hóa và điều phối tập trung chỉ với vài công cụ tích hợp sẵn.
Điều này đồng nghĩa một tác nhân có năng lực trung bình vẫn có thể triển khai chiến dịch trên phạm vi toàn cầu nếu hệ thống mục tiêu tồn tại sơ hở cơ bản.
Đối với các cơ quan, doanh nghiệp tại Việt Nam đang sử dụng thiết bị FortiGate, rủi ro lớn nhất không nằm ở các lỗ hổng zero-day phức tạp, mà ở những vấn đề quản trị quen thuộc: giao diện quản trị phơi nhiễm Internet, chưa kích hoạt xác thực đa yếu tố (MFA), mật khẩu tái sử dụng hoặc thiếu cơ chế giám sát truy cập bất thường.
Trong bối cảnh hạ tầng mạng ngày càng mở rộng và phân tán, các công cụ tấn công “đóng gói sẵn” kết hợp AI có thể nhanh chóng khuếch đại một sai sót nhỏ thành sự cố diện rộng. Vì vậy, việc rà soát cấu hình, giới hạn quyền truy cập từ xa, cập nhật bản vá và tăng cường giám sát an ninh cần được xem là biện pháp nền tảng, thay vì chỉ tập trung vào các kịch bản tấn công tinh vi.
Theo The Hacker News
Chỉnh sửa lần cuối: