سوءاستفاده سریع هکرها از آسیب‌پذیری‌های n-day با ابزار جدید HexStrike-AI

هکرها به‌طور فزاینده‌ای از یک offensive security framework مبتنی بر هوش مصنوعی با نام HexStrike-AI در حملات واقعی برای اکسپلویت آسیب‌پذیری‌های n-day که به‌تازگی افشا شده‌اند، استفاده می‌کنند.

این فعالیت توسط CheckPoint Research گزارش شده است که افزایش قابل توجه بحث‌ها پیرامون HexStrike-AI در دارک‌وب را مشاهده کرده است؛ ابزاری که با weaponization سریع آسیب‌پذیری‌های جدید Citrix از جمله CVE-2025-7775، CVE-2025-7776 و CVE-2025-8424 ارتباط داده می‌شود.

بر اساس داده‌های ShadowServer Foundation، نزدیک به ۸۰۰۰ endpoint تا تاریخ ۲ سپتامبر ۲۰۲۵ همچنان در برابر CVE-2025-7775 آسیب‌پذیر باقی مانده‌اند، در حالی که این عدد در هفته گذشته ۲۸۰۰۰ بود.

قدرت در دستان نادرست

HexStrike-AI در اصل یک ابزار red teaming مشروع است که توسط پژوهشگر امنیت سایبری Muhammad Osama ایجاد شده و امکان ادغام AI agents را برای اجرای خودکار بیش از ۱۵۰ ابزار امنیت سایبری در زمینه penetration testing و کشف آسیب‌پذیری‌ها فراهم می‌کند.

طبق توضیحات سازنده، «HexStrike-AI با مدل تعامل human-in-the-loop از طریق LLMهای خارجی با استفاده از MCP کار می‌کند و یک چرخه پیوسته از prompts، تحلیل، اجرا و بازخورد ایجاد می‌کند.»

نسخه client این ابزار شامل retry logic و recovery handling است تا اثرات ناشی از شکست در هر مرحله از عملیات پیچیده آن کاهش یابد. در این حالت، ابزار به‌طور خودکار عملیات را تکرار یا پیکربندی خود را تنظیم می‌کند تا فرآیند با موفقیت کامل شود.

این ابزار به‌صورت open-source در GitHub از ماه گذشته منتشر شده و تاکنون بیش از ۱۸۰۰ star و بیش از ۴۰۰ fork دریافت کرده است.

با این حال، متأسفانه این پروژه توجه هکرها را نیز جلب کرده و آنان شروع به استفاده از آن در حملات خود کرده‌اند. به گفته CheckPoint، هکرها در انجمن‌های هکری به بحث در مورد این ابزار پرداخته‌اند و درباره نحوه استفاده از HexStrike-AI برای اکسپلویت آسیب‌پذیری‌های zero-day در Citrix NetScaler ADC و Gateway تنها در عرض چند ساعت پس از افشای آن‌ها تبادل نظر کرده‌اند.

گزارش‌ها حاکی از آن است که threat actorها با بهره‌گیری از CVE-2025-7775 موفق به اجرای کد از راه دور به‌صورت unauthenticated شده و سپس webshell‌هایی را بر روی تجهیزات آلوده مستقر کرده‌اند. برخی از آن‌ها حتی نمونه‌های آلوده‌ی NetScaler را برای فروش عرضه کرده‌اند.

به‌اعتقاد CheckPoint، مهاجمان احتمالاً از این pentesting framework جدید برای خودکارسازی زنجیره اکسپلویت خود استفاده کرده‌اند؛ شامل اسکن نمونه‌های آسیب‌پذیر، ساخت اکسپلویت، تحویل payloadها و حفظ persistence در سیستم‌های هدف.

اگرچه نقش مستقیم HexStrike-AI در این حملات تاکنون تأیید نشده است، اما چنین سطحی از automation می‌تواند زمان لازم برای سوءاستفاده از آسیب‌پذیری‌های n-day را از چند روز به چند دقیقه کاهش دهد.

این تحول موجب می‌شود مدیران سیستم که در حال حاضر نیز با patching window محدودی مواجه‌اند، زمان کمتری پیش از آغاز حملات در اختیار داشته باشند.

Check Point درباره یکی از آسیب‌پذیری‌های اخیر Citrix اظهار داشته است:
«فاصله بین افشا و آغاز سوءاستفاده‌های گسترده به‌شدت کاهش یافته است.»

به گفته این شرکت، «آسیب‌پذیری CVE-2025-7775 هم‌اکنون در محیط واقعی مورد سوءاستفاده قرار گرفته و با استفاده از HexStrike-AI، حجم حملات در روزهای آینده افزایش خواهد یافت.»

اگرچه patching سریع همچنان حیاتی است، اما این تغییر پارادایم ناشی از AI-powered attack frameworks اهمیت اتخاذ یک رویکرد جامع و قوی در امنیت سایبری را بیش از پیش برجسته می‌کند.

Check Point به مدافعان توصیه می‌کند بر early warning از طریق threat intelligence، دفاع‌های مبتنی بر هوش مصنوعی و adaptive detection تمرکز کنند.