Phát hiện CyberStrikeAI – Nền tảng tự động hóa tấn công được sử dụng trong chiến dịch quét FortiGate

• 09/03/2026

Một phân tích mới từ cộng đồng an ninh mạng quốc tế đã làm rõ thêm quy mô và cách thức vận hành của chiến dịch tấn công nhắm vào thiết bị FortiGate được công bố hồi tháng 2/2026. Theo đó, chiến dịch xâm nhập hơn 600 thiết bị tại 55 quốc gia có thể đã được điều phối bởi một nền tảng tự động hóa tấn công mang tên CyberStrikeAI.

Phát hiện này cho thấy các cuộc tấn công mạng hiện nay không chỉ tận dụng AI tạo sinh để hỗ trợ viết mã, mà còn sử dụng các framework tấn công tích hợp AI để tự động hóa toàn bộ quy trình trinh sát, khai thác và phân tích dữ liệu ở quy mô lớn.

CyberStrikeAI – “bảng điều khiển trung tâm” cho các chiến dịch tấn công

CyberStrikeAI được giới thiệu là một nền tảng offensive security mã nguồn mở, phát triển bằng ngôn ngữ Go và được công bố trên GitHub bởi tài khoản có tên Ed1s0nZ.

Về bản chất, đây không phải một công cụ đơn lẻ mà là một framework tích hợp hơn 100 tiện ích bảo mật, được thiết kế để mô phỏng các kịch bản tấn công và đánh giá mức độ an toàn của hệ thống.

(Chèn hình: Giao diện hoặc sơ đồ kiến trúc CyberStrikeAI)

Các chức năng chính của nền tảng bao gồm:

• Quét diện rộng các địa chỉ IP và dịch vụ phơi nhiễm trên Internet, giúp xác định nhanh các điểm có nguy cơ bị khai thác

• Phân tích chuỗi tấn công, mô phỏng cách kẻ tấn công mở rộng quyền truy cập từ điểm xâm nhập ban đầu

• Thu thập và chuẩn hóa dữ liệu kỹ thuật, phục vụ đánh giá lỗ hổng và phân tích hệ thống

• Trực quan hóa kết quả quét, giúp ưu tiên mục tiêu trong quá trình kiểm thử hoặc khai thác

Trong môi trường nghiên cứu và kiểm thử bảo mật, những nền tảng như vậy thường được sử dụng để đánh giá mức độ an toàn của hạ tầng. Tuy nhiên, khi bị lạm dụng, khả năng tự động hóa và điều phối tập trung có thể giúp tin tặc mở rộng quy mô tấn công chỉ trong thời gian ngắn.

Vai trò của CyberStrikeAI trong chiến dịch nhắm vào FortiGate

Các báo cáo trước đây cho thấy nhóm tấn công nói tiếng Nga đã khai thác giao diện quản trị FortiGate phơi nhiễm trên Internet, sử dụng kỹ thuật brute-force để dò thông tin đăng nhập và sau đó di chuyển ngang trong hệ thống.

Tuy nhiên, các phân tích mới cho thấy quá trình quét diện rộng và xác định mục tiêu nhiều khả năng được triển khai thông qua CyberStrikeAI.

Theo dữ liệu quan sát:

• Ít nhất 21 địa chỉ IP đã vận hành công cụ này

• Hoạt động diễn ra trong khoảng cuối tháng 1 đến cuối tháng 2/2026

• Các mục tiêu bị quét trải rộng trên 55 quốc gia

Điều này cho thấy chiến dịch không chỉ đơn thuần sử dụng AI để hỗ trợ lập trình, mà đã tận dụng một hệ sinh thái công cụ tấn công được “AI hóa” nhằm tăng tốc độ và phạm vi hoạt động.

Nghi vấn liên quan đến hệ sinh thái công cụ tấn công

Nhà phát triển CyberStrikeAI được cho là có thể liên quan đến Knownsec 404, một công ty an ninh mạng tại Trung Quốc từng bị rò rỉ tài liệu nội bộ trước đây.

Hiện chưa có bằng chứng cho thấy chiến dịch FortiGate phục vụ mục tiêu chiến lược giữa các quốc gia. Tuy nhiên, nguồn gốc của công cụ vẫn đang được cộng đồng an ninh mạng quốc tế theo dõi chặt chẽ.

Khi AI làm thay đổi quy mô của các cuộc tấn công mạng

Diễn biến của vụ việc cho thấy trí tuệ nhân tạo không nhất thiết tạo ra kỹ thuật xâm nhập hoàn toàn mới. Thay vào đó, AI đang thay đổi tốc độ và quy mô triển khai của các kỹ thuật tấn công quen thuộc.

Những thao tác như:

• Quét diện rộng Internet

• Thử thông tin đăng nhập

• Phân tích cấu hình hệ thống

• Tổng hợp dữ liệu mục tiêu

trước đây cần nhiều thời gian và nhân lực, nay có thể được tự động hóa và điều phối tập trung thông qua các framework tích hợp AI.

Điều này đồng nghĩa ngay cả những tác nhân có năng lực trung bình cũng có thể triển khai chiến dịch tấn công ở quy mô toàn cầu nếu hệ thống mục tiêu tồn tại các sai sót cơ bản.

Khuyến nghị bảo mật đối với hệ thống FortiGate

Đối với các cơ quan và doanh nghiệp tại Việt Nam đang sử dụng thiết bị FortiGate, rủi ro lớn nhất thường không nằm ở các lỗ hổng phức tạp, mà ở các vấn đề quản trị hệ thống phổ biến.

DTG khuyến nghị các tổ chức cần rà soát:

• Không để giao diện quản trị FortiGate phơi nhiễm trực tiếp trên Internet

• Kích hoạt xác thực đa yếu tố (MFA) cho tài khoản quản trị

• Tránh tái sử dụng mật khẩu hoặc sử dụng mật khẩu yếu

• Triển khai giám sát truy cập và phát hiện hành vi bất thường

• Thường xuyên cập nhật bản vá và cấu hình bảo mật

Trong bối cảnh hạ tầng mạng ngày càng mở rộng và phân tán, các công cụ tấn công “đóng gói sẵn” kết hợp AI có thể nhanh chóng khuếch đại một sai sót nhỏ thành sự cố diện rộng. Vì vậy, việc quản trị cấu hình, kiểm soát truy cập và giám sát an ninh cần được xem là nền tảng bảo vệ hệ thống, thay vì chỉ tập trung vào các kịch bản tấn công phức tạp.