Selon barrack.ai (mise à jour 4 mars 2026), qui synthétise des enquêtes d’Amazon Threat Intelligence (20 fév. 2026), Team Cymru (~2 mars 2026) et le blog indépendant Cyber and Ramen (21 fév. 2026), une campagne active a compromis 600+ équipements FortiGate dans 55+ pays en cinq semaines. L’opérateur, décrit par Amazon comme russe‑parlant, motivé financièrement et de compétence faible à moyenne mais amplifiée par l’IA, a utilisé des services LLM commerciaux et une infrastructure personnalisée. Chaque affirmation est attribuée à sa source: Amazon pour l’incident et la chaîne post‑exploitation, Cyber and Ramen pour l’infrastructure exposée, Team Cymru pour le lien technique avec CyberStrikeAI et l’adoption globale.

Amazon décrit une campagne sans zero‑day, exploitant des interfaces d’administration exposées (TCP 443/8443/10443/4443) et des identifiants faibles. La post‑exploitation a inclus: extraction et déchiffrement de configurations FortiGate, découverte de services avec gogo, Nuclei pour le scanning, compromission AD via Meterpreter+mimikatz (DCSync), mouvements latéraux (pass‑the‑hash, pass‑the‑ticket, NTLM relay) et ciblage de Veeam B&R (CVE‑2023‑27532, CVE‑2024‑40711). Amazon publie deux IOCs IP (212.11.64[.]250, 185.196.11[.]225) et note une OPSEC faible (plans, credentials et données victimes non chiffrés).

CyberStrikeAI (source: GitHub d’«Ed1s0nZ») est une plateforme offensive IA‑native en Go intégrant 100+ outils à travers la kill chain, avec MCP (HTTP/stdio/SSE), orchestration intelligente, rôles/skills, et support de modèles OpenAI‑compatibles. Par défaut, DeepSeek est configuré; la documentation cite aussi GPT‑4o et Claude. Le tableau de bord web et la fédération MCP permettent de chaîner des outils (nmap, masscan, httpx, nuclei, metasploit, mimikatz, impacket, etc.) et d’opérer à l’échelle avec artefacts et graphes de chaînes d’attaque.

Cyber and Ramen a recensé sur 212.11.64[.]250 1 400+ fichiers/139 dossiers (configs FortiGate dérobées, templates Nuclei, données BloodHound, plans IA) et trois composants distincts de CyberStrikeAI: ARXON (serveur MCP sur‑mesure orchestrant DeepSeek pour le planning et Claude pour l’exécution), CHECKER2 (orchestrateur Go/Docker pour scans VPN parallèles; 2 500+ FortiGate en file d’attente pour tests d’accès, non des compromissions), et la trace d’un prédécesseur HexStrike AI. L’allocation IA était scindée: DeepSeek pour la stratégie; Claude pour l’évaluation de vulnérabilités et l’exécution (Impacket, Metasploit, hashcat) avec des credentials de domaine codés en dur.

Team Cymru a relié la campagne à CyberStrikeAI via un banner distinctif sur le port 8080 de 212.11.64[.]250 et du NetFlow vers des cibles FortiGate d’Amazon. Entre 20 janv. et 26 fév. 2026, 21 IP exécutant CyberStrikeAI ont été observées (principalement Chine/Singapour/Hong Kong, mais aussi US/Japon/Suisse), avec une adoption en forte hausse. Team Cymru associe le développeur Ed1s0nZ à Knownsec 404 et à un prix CNNVD 2024 (référence ensuite retirée du profil GitHub), tandis que Bitsight rappelle le rôle de CNNVD/CNVD dans la gestion stratégique des vulnérabilités. L’article conclut qu’il s’agit d’une analyse de menace documentant l’usage opérationnel d’une boîte à outils IA offensive et ses liens infrastructurels/acteurs.

• IOCs (Team Cymru + Amazon):

  • 212.11.64.250, 106.52.47.65, 115.120.233.95, 117.72.103.145, 118.25.186.119, 47.95.33.207, 47.101.186.156, 62.234.61.215, 81.70.144.252, 60.204.227.64, 103.164.81.110, 146.190.195.154, 146.190.82.132, 43.106.25.225, 43.167.237.212, 142.171.160.137, 144.31.224.253, 38.38.250.182, 154.219.114.92, 64.176.48.93, 2400:d321:2308:1461::1
  • 185.196.11.225 (Amazon)

• TTPs clés (principalement selon Amazon):

  • Accès initial: interfaces d’admin FortiGate exposées (TCP 443/8443/10443/4443), credentials faibles/sans MFA
  • Découverte/scan: gogo, Nuclei; identification SMB/DC; ingestion/classement réseaux cibles
  • Compromission AD: Meterpreter + mimikatz (DCSync)
  • Mouvement latéral: pass‑the‑hash, pass‑the‑ticket, NTLM relay
  • Ciblage sauvegardes: Veeam B&R (CVE‑2023‑27532, CVE‑2024‑40711)
  • Orchestration IA: DeepSeek (planning), Claude (exécution d’outils offensifs) 🤖

🧠 TTPs et IOCs détectés

TTP

[‘Accès initial via interfaces d’administration FortiGate exposées (TCP 443/8443/10443/4443)’, ‘Utilisation de credentials faibles/sans MFA’, ‘Découverte et scanning avec gogo et Nuclei’, ‘Compromission Active Directory via Meterpreter et mimikatz (DCSync)’, ‘Mouvement latéral avec pass-the-hash, pass-the-ticket, NTLM relay’, ‘Ciblage de sauvegardes Veeam B&R (CVE-2023-27532, CVE-2024-40711)’, “Orchestration IA avec DeepSeek pour le planning et Claude pour l’exécution d’outils offensifs”]

IOC

[‘212.11.64.250’, ‘185.196.11.225’, ‘106.52.47.65’, ‘115.120.233.95’, ‘117.72.103.145’, ‘118.25.186.119’, ‘47.95.33.207’, ‘47.101.186.156’, ‘62.234.61.215’, ‘81.70.144.252’, ‘60.204.227.64’, ‘103.164.81.110’, ‘146.190.195.154’, ‘146.190.82.132’, ‘43.106.25.225’, ‘43.167.237.212’, ‘142.171.160.137’, ‘144.31.224.253’, ‘38.38.250.182’, ‘154.219.114.92’, ‘64.176.48.93’, ‘2400:d321:2308:1461::1’]

🔗 Source originale : https://blog.barrack.ai/cyberstrikeai-fortigate-breach/