Trong vòng vài giờ kể từ khi ra mắt, khung tấn công mới Hexstrike-AI đã trở thành công cụ đột phá cho tội phạm mạng, cho phép quét, khai thác và duy trì quyền truy cập vào mục tiêu chỉ trong vòng chưa đầy mười phút. Khả năng này đã đẩy nhanh đáng kể chu trình khai thác zero-day, đặt ra thách thức lớn cho các tổ chức phòng thủ.

Hexstrike-AI: Công Cụ Red-Team Chuyển Hóa Thành Vũ Khí Tấn Công Mạng

Hexstrike-AI, ban đầu được phát triển như một công cụ dành cho các nhóm đỏ (red-team), đã nhanh chóng bị biến thành vũ khí tấn công trên các diễn đàn ngầm. Các tác nhân đe dọa đã chia sẻ phương pháp sử dụng nó để chống lại các lỗ hổng zero-day mới của Citrix NetScaler.

Các nhà nghiên cứu bảo mật đã thảo luận từ lâu về ý tưởng về một “bộ não” AI để quản lý nhiều tác nhân chuyên biệt, phối hợp trong các cuộc tấn công mạng phức tạp. Một blog điều hành gần đây đã dự đoán rằng các lớp điều phối và trừu tượng này sẽ đóng vai trò quan trọng trong các cuộc tấn công trong tương lai. Để hiểu thêm về khía cạnh này, bạn có thể tham khảo bài viết từ Check Point blog.

Mặc dù những người tạo ra Hexstrike-AI đã giới thiệu nó cho các nhà phòng thủ và đội red-team như một “khung bảo mật tấn công do AI cung cấp mang tính cách mạng,” các tác nhân độc hại đã không lãng phí thời gian. Ngay trong buổi chiều cùng ngày ra mắt, các cuộc thảo luận trên dark-web đã tiết lộ rằng các nhóm tấn công đang thử nghiệm Hexstrike-AI để khai thác các lỗ hổng đã được tiết lộ của Citrix NetScaler ADC và Gateway, giải phóng các webshell thực thi mã từ xa (unauthenticated remote code execution).

Cấu Trúc Hoạt Động Của Hexstrike-AI

Cốt lõi của Hexstrike-AI là một lớp điều phối FastMCP, đóng vai trò cầu nối giữa các mô hình ngôn ngữ lớn (LLMs) — như Claude, GPT và Copilot — với các công cụ bảo mật thực tế. Mỗi công cụ được đóng gói trong một bộ trang trí MCP (MCP decorator), giúp nó hiển thị dưới dạng một hàm có thể gọi được (callable function).

Hệ thống này có khả năng tiếp nhận các lệnh không rõ ràng như “khai thác NetScaler” và chia nhỏ chúng thành các hành động từng bước. Điều này cho phép các tác nhân AI thực hiện các hành động đó một cách tự động và hiệu quả. Logic thử lại tích hợp sẵn và các vòng lặp phục hồi đảm bảo sự ổn định trong các hoạt động được xâu chuỗi.

Các lệnh cấp cao được truyền qua một quy trình làm việc execute_command, nơi tự động chọn và sắp xếp trình tự các công cụ cần thiết. Cơ chế này cho phép các cuộc tấn công diễn ra liền mạch và có khả năng thích ứng cao, đẩy mạnh tốc độ khai thác zero-day lên một tầm cao mới.

Vũ Khí Hóa Các Lỗ Hổng CVE Nghiêm Trọng

Vào ngày 26 tháng 8, Citrix đã công bố ba lỗ hổng NetScaler nghiêm trọng. Các lỗ hổng này ảnh hưởng đến Citrix NetScaler ADC và Gateway, tiềm ẩn nguy cơ thực thi mã từ xa không xác thực. Chi tiết hơn về các lỗ hổng này có thể được tìm thấy tại GBHackers.

Trong lịch sử, việc khai thác các lỗ hổng CVE như vậy đòi hỏi chuyên môn sâu rộng và mất hàng tuần để phát triển. Tuy nhiên, các bài đăng trên các diễn đàn ngầm hiện nay đã tuyên bố khai thác thành công và bán các thiết bị bị xâm phạm — tất cả chỉ trong vài phút với Hexstrike-AI. Đây là một minh chứng rõ ràng về khả năng tăng tốc khai thác zero-day mà công cụ này mang lại.

Sự ra mắt của Hexstrike-AI đánh dấu một thời điểm then chốt: một công cụ định hướng phòng thủ đã nhanh chóng bị lợi dụng thành một công cụ khai thác zero-day quy mô lớn. Thời gian từ khi công bố lỗ hổng CVE đến khi khai thác hàng loạt đã thu hẹp từ vài ngày xuống còn vài phút, và số lượng các cuộc tấn công mạng được dự đoán sẽ tăng vọt.

Hậu Quả Và Phản Ứng Cần Thiết Của Cộng Đồng Bảo Mật

Tốc độ và khả năng tự động hóa của Hexstrike-AI tạo ra một áp lực chưa từng có lên các đội ngũ bảo mật. Sự hội tụ của điều phối AI và các công cụ tấn công đã được dự đoán từ lâu, và nay đã trở thành hiện thực. Để đối phó với mối đe dọa này, các nhà phòng thủ phải hành động ngay lập tức.

Để ngăn chặn làn sóng tấn công mạng do AI điều khiển tiếp theo, cộng đồng an ninh phải đổi mới nhanh hơn. Điều này bao gồm việc áp dụng các bản vá thông minh hơn, phát hiện động các mối đe dọa và phản ứng với tốc độ máy. Việc tăng cường khả năng phòng thủ chống lại các chiến lược khai thác zero-day tiên tiến là tối quan trọng.

Các tổ chức cần ưu tiên cập nhật bản vá và triển khai các hệ thống phát hiện xâm nhập tiên tiến để đối phó với tốc độ **khai thác zero-day** ngày càng tăng. Chỉ khi đó, chúng ta mới có thể hy vọng giữ vững được an ninh mạng trong bối cảnh các công cụ tấn công do AI cung cấp ngày càng trở nên phức tạp.