Team Cymru tarafından yayınlanan yeni bulgular, yapay zekâ destekli Fortinet FortiGate saldırılarında açık kaynaklı bir saldırı aracı olan CyberStrikeAI’ın kullanıldığını ortaya koydu. Söz konusu olaylarda 55 ülkede 600’den fazla cihazın ele geçirildiği belirtiliyor.
CyberStrikeAI Geliştiricisinin Çin Bağlantılı Olabileceği Öne Sürülüyor
Saldırıların arkasındaki, Rusça konuştuğu değerlendirilen tehdit aktörünün, savunmasız cihazları tespit etmek için kitlesel ve otomatik taramalar gerçekleştirdiği tespit edildi. Analiz edilen IP adreslerinden biri olan 212.11.64[.]250 üzerinden yürütülen faaliyetler, CyberStrikeAI kullanımına işaret etti.
CyberStrikeAI, GitHub üzerinde açık kaynak olarak yayınlanan ve Go diliyle geliştirilen bir “AI-native” saldırı testi platformu olarak tanımlanıyor. Araç, 100’den fazla güvenlik aracını entegre ederek güvenlik açığı keşfi, saldırı zinciri analizi, bilgi geri kazanımı ve sonuç görselleştirme gibi yetenekler sunuyor. Aracın geliştiricisi, çevrim içi ortamda “Ed1s0nZ” takma adını kullanıyor. Güvenlik araştırmacılarına göre kişinin Çin merkezli olduğu ve bazı devlet bağlantılarına sahip olabileceği değerlendiriliyor.
Team Cymru, 20 Ocak – 26 Şubat 2026 tarihleri arasında CyberStrikeAI çalıştıran 21 farklı IP adresi gözlemledi. Sunucuların büyük kısmının Çin, Singapur ve Hong Kong’da barındırıldığı; ayrıca ABD, Japonya ve İsviçre’de de ilişkili altyapıların bulunduğu aktarıldı.
Geçtiğimiz ay Amazon İstihbarat Birimi, kimliği belirsiz saldırganın FortiGate cihazlarını sistematik olarak hedef aldığını ve üretken yapay zekâ servislerinden yararlandığını açıklamıştı. Saldırılarda Anthropic Claude ve DeepSeek gibi modellerin kullanıldığı belirtilmişti.
Ed1s0nZ hesabı yalnızca CyberStrikeAI değil, farklı saldırı ve istismar araçları da yayınlamış durumda. Bunlar arasında fidye yazılımı (banana_blackmail), ayrıcalık yükseltme tespiti araçları (PrivHunterAI, InfiltrateX), ChatGPT jailbreak komutları içeren depolar ve hassas veri izleme aracı (VigilantEye) bulunuyor.
Araştırmacılar, geliştiricinin GitHub faaliyetlerinin Çin devletine yakın bazı kuruluşlarla etkileşim içerdiğini öne sürüyor. Bu kapsamda adı geçen şirketlerden biri, Çin merkezli güvenlik firması Knownsec 404. Şirket, geçen yıl 12.000’den fazla dahili belgenin sızdırılmasıyla gündeme gelmiş, belgelerde devlet kurumlarıyla ilişkiler ve çeşitli siber operasyonlara dair veriler ortaya çıkmıştı.
Geliştiricinin GitHub profilinde daha önce Çin Ulusal Bilgi Güvenliği Açık Veri Tabanı’na (CNNVD) katkı ödülü aldığına dair ifadeler bulunduğu; fakat bu referansların sonradan kaldırıldığı tespit edildi. CNNVD’nin Çin Devlet Güvenlik Bakanlığı (MSS) gözetiminde olduğu biliniyor.
Öte yandan CyberStrikeAI’ın açık kaynak olması, bu tür araçların daha geniş bir kullanıcı kitlesi tarafından benimsenme riskini artırıyor. Uzmanlar, yapay zekâ destekli saldırı platformlarının geleneksel güvenlik test araçlarından daha hızlı ölçeklenebildiğini ve otomasyon kabiliyeti sayesinde küresel ölçekte tehdit oluşturabildiğini belirtiyor.
FortiGate cihazlarını hedef alan son girişimler, üretken yapay zekânın siber saldırı zincirine entegre edilmesinin artık teorik değil, operasyonel bir gerçeklik olduğunu gösteriyor. Güvenlik araştırmacılarına göre yapay zekâ destekli açık kaynak saldırı araçlarının yaygınlaşması, kurumsal savunma stratejilerinde köklü değişiklikleri zorunlu kılabilir.
Kaynak: thehackernews.com