Un outil open source chinois intègre plus de 100 programmes offensifs et des agents IA pour orchestrer des intrusions de bout en bout. Amazon et Team Cymru viennent de documenter son utilisation dans une campagne massive contre des pare-feux Fortinet.

Plus de 500 FortiGate compromis sans exploit zero-day

Entre le 11 janvier et le 18 février 2026, un pirate russophone a pénétré plus de 600 pare-feux Fortinet FortiGate répartis dans 55 pays. Le détail le plus frappant : aucune faille zero-day n a été exploitée. Le rapport publié par CJ Moses, directeur de la sécurité intégrée d Amazon, décrit une méthode plus prosaïque. L attaquant a ciblé des interfaces d administration exposées sur internet et des identifiants faibles, dépourvus d authentification multifacteur.

Une fois dans la place, les configurations des appareils ont été aspirées : identifiants VPN-SSL, mots de passe administrateur, politiques de pare-feu, architecture réseau interne. Ces fichiers ont ensuite été analysés et déchiffrés par des outils Python et Go dont le code porte les traces caractéristiques d une génération par intelligence artificielle, selon Amazon. Commentaires redondants, architecture simpliste, analyse JSON par correspondance de chaînes plutôt que par désérialisation : le code fonctionne, mais casse dès que les conditions sortent de l ordinaire.

Les appareils touchés se trouvaient en Asie du Sud, en Amérique latine, en Afrique de l Ouest, en Europe du Nord et en Asie du Sud-Est. Le ciblage était opportuniste, sans lien apparent avec un secteur industriel précis.

CyberStrikeAI, la boîte à outils qui change la donne

L enquête a pris un tour inattendu lorsque Team Cymru, spécialiste du renseignement sur les menaces, a analysé l un des serveurs utilisés par l attaquant. Sur l adresse IP 212.11.64.250, partagée par Amazon, les chercheurs ont identifié un service baptisé CyberStrikeAI, actif sur le port 8080.

La plateforme, disponible sur GitHub, se présente comme un outil de test de sécurité « natif IA » développé en Go. Son arsenal intègre plus de 100 outils offensifs regroupés en chaîne d attaque complète : scanners réseau (nmap, masscan), outils de test web (sqlmap, nikto, gobuster), frameworks d exploitation (Metasploit, pwntools), craqueurs de mots de passe (hashcat, John the Ripper) et outils de post-exploitation (mimikatz, BloodHound, Impacket).

À lire aussi

« ClawJacked » : un site web suffisait à pirater l agent IA aux 100 000 étoiles GitHub
PromptSpy, le premier malware Android qui utilise l IA pour s accrocher à votre téléphone

Ce qui distingue CyberStrikeAI des boîtes à outils offensives classiques, c est son moteur d orchestration piloté par des agents IA. Compatible avec GPT, Claude et DeepSeek, il permet d automatiser l ensemble du processus : de la commande en langage naturel jusqu à la découverte de vulnérabilités, en passant par l analyse de chaîne d attaque et la visualisation des résultats. Un tableau de bord protégé par mot de passe offre journalisation, audit et persistance SQLite.

En clair, un opérateur sans compétences techniques avancées peut lancer une campagne d intrusion complète en décrivant sa cible en quelques phrases. Team Cymru a recensé 21 adresses IP exécutant CyberStrikeAI entre le 20 janvier et le 26 février 2026, hébergées principalement en Chine, à Singapour et à Hong Kong, avec des serveurs supplémentaires aux États-Unis, au Japon et en Europe.

Un développeur lié au renseignement chinois

Le profil GitHub du créateur de CyberStrikeAI, qui opère sous le pseudonyme « Ed1s0nZ », a attiré l attention des chercheurs. Ses autres projets trahissent un intérêt prononcé pour l exploitation de failles : PrivHunterAI, un outil de détection d escalade de privilèges assisté par IA, et InfiltrateX, un scanner d escalade de privilèges.

En décembre 2025, Ed1s0nZ a soumis CyberStrikeAI au « Starlink Project » de Knownsec 404. Cette entreprise chinoise de cybersécurité entretient des liens documentés avec le ministère chinois de la Sécurité d État (MSS), selon une enquête publiée par DomainTools. Le 5 janvier 2026, le développeur a ajouté sur son profil GitHub une mention de récompense décernée par le CNNVD (China National Vulnerability Database), une base de données de vulnérabilités que des chercheurs de Recorded Future et BitSight considèrent comme un instrument du renseignement chinois pour collecter des failles zero-day avant leur divulgation publique. Cette mention a ensuite été supprimée du profil.

Les dépôts GitHub d Ed1s0nZ sont rédigés en chinois. Si l interaction avec des organisations nationales de cybersécurité n a rien d inhabituel pour un développeur chinois, la convergence de ces indices préoccupe les analystes.

Les défenseurs face à une nouvelle génération d attaques

La campagne FortiGate illustre un basculement. Les attaquants n ont pas eu besoin de vulnérabilités sophistiquées : des mots de passe faibles et des interfaces exposées ont suffi. L IA a servi d accélérateur, pas de percée technologique. Les notes opérationnelles du pirate, rédigées en russe, détaillaient l utilisation de Meterpreter et mimikatz pour des attaques DCSync contre des contrôleurs de domaine Windows. Des scripts PowerShell ciblaient les serveurs Veeam Backup, une étape classique avant le déploiement de rançongiciels.

Google a documenté un phénomène similaire en février 2026. Des groupes étatiques chinois (APT31), iraniens (APT42), nord-coréens (UNC2970) et russes utilisent Gemini pour le profilage de cibles, la création de leurres de phishing, le développement de code malveillant et le test de vulnérabilités, selon le Google Threat Intelligence Group. Un groupe chinois a même demandé à Gemini d analyser des techniques de contournement de pare-feu applicatif (WAF) et d injection SQL contre des cibles américaines précises.

« Dans un futur proche, les défenseurs doivent se préparer à un environnement où des outils comme CyberStrikeAI abaissent considérablement la barrière d entrée pour l exploitation complexe de réseaux », prévient Will Thomas, conseiller principal en renseignement sur les menaces chez Team Cymru, dans son rapport.

La prochaine mise à jour de sécurité Android de Google, publiée le 3 mars, corrige 129 vulnérabilités dont un zero-day Qualcomm activement exploité. Un rappel que la course entre attaquants et défenseurs ne ralentit pas.