Selon blog.checkpoint.com (Amit Weigman, Office of the CTO, 2 septembre 2025), des chercheurs analysent Hexstrike‑AI, un framework d’orchestration IA pensé pour le « red teaming » et la recherche, mais rapidement détourné par des acteurs malveillants pour viser des zero‑days Citrix NetScaler révélés le 26/08. ⚠️
Le billet explique que Hexstrike‑AI fournit un « cerveau » d’orchestration reliant des LLM (Claude, GPT, Copilot) à plus de 150 outils de sécurité. Au cœur du système, un serveur FastMCP et des MCP Agents exposent les outils sous forme de fonctions appelables, permettant aux agents IA d’exécuter de manière autonome des tâches comme la découverte, l’exploitation, la persistence et l’exfiltration. Des fonctions standardisées (ex. nmap_scan) et un mécanisme de traduction d’intention en exécution (ex. execute_command) automatisent l’enchaînement des actions, avec retries et reprise pour la résilience. 🤖
Dans les heures suivant la sortie, des discussions sur des canaux souterrains ont porté sur l’usage de l’outil pour exploiter des vulnérabilités Citrix NetScaler ADC/Gateway divulguées le 26/08, notamment : CVE‑2025‑7775 (RCE non authentifiée, webshells observés en exploitation active), CVE‑2025‑7776 (anomalie de gestion mémoire, risque élevé) et CVE‑2025‑8424 (faiblesse de contrôle d’accès sur interfaces de management). Des posts de dark web revendiquent des exploits réussis avec Hexstrike‑AI, la mise en vente d’instances vulnérables scannées, et un temps d’attaque réduit de jours à moins de 10 minutes, avec scans massifs et retries automatiques adaptatifs.
Les auteurs soulignent que cette orchestration abaisse la barrière technique pour des vulnérabilités complexes, accélère la reconnaissance, l’aide à la création d’exploits et la livraison de charges, et réduit fortement la fenêtre entre divulgation et exploitation de masse. Ils mentionnent comme mesures prioritaires la mise à jour/hardening des systèmes affectés (Citrix a publié des correctifs) et, dans leur rapport technique, des actions telles que durcissement des authentifications, restriction d’accès et chasse aux webshells.
Au‑delà du cas Citrix, l’émergence d’Hexstrike‑AI est présentée comme un tournant confirmant la convergence orchestration IA + outillage offensif, avec des recommandations de posture défensive alignées sur cette vitesse (détection adaptative, défense dopée à l’IA, cycles de patch raccourcis, fusion de renseignement, conception résiliente). L’article est une analyse visant à décrire l’outil, son architecture et son usage offensif émergent, ainsi que ses implications pour la défense.
🔗 Source originale : https://blog.checkpoint.com/executive-insights/hexstrike-ai-when-llms-meet-zero-day-exploitation/