Los delincuentes afirman que la herramienta de penetración de IA HexStrike soluciona rápidamente los errores de Citrix

En este momento estás viendo Los delincuentes afirman que la herramienta de penetración de IA HexStrike soluciona rápidamente los errores de Citrix

LLMs y ataques de día cero: ¿qué podría salir mal?.

Los delincuentes afirman que la herramienta de penetración de IA HexStrike soluciona rápidamente los errores de Citrix

Autor de la entrada:Fernando
Categoría de la entrada:Análisis
Última modificación de la entrada:septiembre 8, 2025

Atacantes en foros clandestinos afirmaron haber utilizado HexStrike AI, una herramienta de código abierto para equipos rojos, contra las vulnerabilidades de Citrix NetScaler pocas horas después de su divulgación, según Amit Weigman, experto en ciberseguridad de Check Point.

La herramienta de IA y su adopción casi instantánea por parte de los ciberdelincuentes indican que «la ventana entre la divulgación y la explotación masiva se reduce drásticamente», escribió Weigman en una entrada de blog el martes.

CVE-2025-7775, un error crítico de ejecución remota de código previo a la autorización, fue utilizado como ataque de día cero para instalar webshells y dispositivos de puerta trasera antes de que Citrix lanzara un parche.

«Y con HexStrike AI, el volumen de ataques solo aumentará en los próximos días», advirtió Weigman.

HexStrike AI es un marco de pruebas de penetración basado en IA, desarrollado por el investigador de seguridad Muhammad Osama y publicado en GitHub hace varias semanas. Esta herramienta de seguridad ofensiva se integra con más de 150 herramientas de seguridad para realizar reconocimiento y escaneo de red, pruebas de seguridad de aplicaciones web, ingeniería inversa y muchas otras tareas.

También se conecta a más de una docena de agentes de IA para buscar vulnerabilidades, automatizar el desarrollo de exploits y descubrir nuevas cadenas de ataque.

El repositorio de GitHub advierte que HexStrike AI no debe utilizarse para pruebas de sistemas no autorizadas, actividades ilegales o dañinas, ni para el robo de datos. Sin embargo, poco después de su lanzamiento, los delincuentes, como suelen hacer con cualquier herramienta legítima de pruebas de penetración, comenzaron a hablar de HexStrike AI en el contexto de las vulnerabilidades de seguridad de Citrix, según Check Point.

«Explotar estas vulnerabilidades no es trivial», escribió Weigman. Los atacantes deben comprender las operaciones de memoria, las evasiones de autenticación y las peculiaridades de la arquitectura de NetScaler. Históricamente, este trabajo ha requerido operadores altamente cualificados y semanas de desarrollo.

Sin embargo, publicaciones en la dark web compartidas por la empresa sugieren que, en las 12 horas siguientes a la divulgación, los atacantes afirmaron estar utilizando HexStrike AI para generar código de explotación y escanear en busca de instancias vulnerables de NetScaler.

Si bien Aaron Rose, director de arquitectura de seguridad de Check Point, declaró que la empresa de seguridad no tiene pruebas «por el momento» de que los atacantes hayan utilizado la herramienta de IA para orquestar ataques, «tenemos indicios tempranos y contundentes de que la herramienta está apuntando a ataques de día cero de NetScaler, lo que hace muy probable que veamos una explotación confirmada pronto».

«HexStrike AI es un punto de inflexión porque derriba la barrera de entrada para exploits complejos», afirmó Rose. «Los ataques que antes requerían operadores altamente cualificados y días de esfuerzo manual ahora pueden ser orquestados por IA en minutos, lo que proporciona a los adversarios una velocidad y una escala que los defensores nunca antes habían experimentado».

Al ser preguntado sobre la apropiación de HexStrike AI por parte de atacantes y si lamentaba haberlo publicado, Osama declaró que su objetivo es ayudar a los defensores a adelantarse a los delincuentes, y no al revés.

«HexStrike AI se creó como un marco que prioriza a los defensores para acelerar las pruebas de penetración y las evaluaciones de resiliencia mediante la combinación de la orquestación basada en LLM con cientos de herramientas de seguridad», declaró por correo electrónico en respuesta a preguntas.

«El objetivo es ayudar a los defensores a descubrir vulnerabilidades antes que los atacantes, utilizando IA para simular diversas rutas y perspectivas de ataque a velocidad de máquina», afirmó Osama. «Al igual que otros marcos de seguridad, puede ser mal utilizado, pero no incluye exploits de día cero preconfigurados. Automatiza los flujos de trabajo, y otros pueden insertar su propia lógica. También he suspendido el lanzamiento de la versión basada en RAG, que puede integrar dinámicamente inteligencia CVE y ajustar las pruebas en tiempo real, para equilibrar cuidadosamente el empoderamiento de los defensores con la limitación del abuso».

RAG, o Generación Aumentada por Recuperación, es un marco de IA que combina LLM con un sistema de recuperación de información, potenciando al máximo las respuestas de los modelos.

La misión de HexStrike, añadió, es brindar a los defensores las mismas capacidades de «automatización adaptativa» que los adversarios ya utilizan.

«HexStrike se creó para fortalecer la defensa y preparar a la comunidad para un futuro donde la orquestación basada en IA y los agentes autónomos definirán tanto el ataque como la defensa», afirmó Osama.

Etiquetas: Aaron Rose, Ai, Amit Weigman, Check Point, Ciberdelincuentes, Ciberseguridad, Citrix, Citrix NetScaler, CVE, CVE-2025-7775, Dia Cero, Exploits, Generación Aumentada por Recuperación, GitHub, HexStrike, IA, Inteligencia Artificial, LLM, LLMs, Muhammad Osama, RAG, Webshells

También podría gustarte

La directora de inteligencia de seguridad de Palo Alto Networks afirma que los agentes de IA serán la mayor amenaza interna en 2026

El nuevo Hollywood: La transformación que GenAI está a punto de lanzar en el cine y la televisión

¿Es Grok 4 el modelo de IA más inteligente hasta la fecha? ¿Por qué el nuevo modelo de Elon Musk está ganando elogios?