Un logiciel offensif piloté par intelligence artificielle vient d'être repéré sur les serveurs d'une campagne ayant compromis plus de 600 pare-feu Fortinet. Le plus inquiétant n'est pas l'outil lui-même, mais les connexions de celui qui l'a conçu.
L'affaire a éclaté il y a quelques jours, quand Amazon a documenté une campagne massive contre des pare-feu FortiGate dans 55 pays. Un pirate russophone, de niveau technique modeste, avait compromis plus de 600 appareils en cinq semaines grâce à l'IA générative. Un rapport de Team Cymru, publié ce 3 mars et relayé par Bleeping Computer, apporte une pièce manquante : l'un des serveurs impliqués hébergeait CyberStrikeAI, une plateforme offensive d'un genre nouveau.
Comment une plateforme de test de sécurité IA sert à pirater des pare-feu
CyberStrikeAI se présente sur GitHub comme une « plateforme de test de sécurité native IA, développée en Go ». Derrière cette description aseptisée se cache un arsenal redoutable. L'outil intègre plus de 100 logiciels de sécurité offensive : reconnaissance réseau avec nmap ou masscan, test d'applications avec sqlmap ou nikto, cadres d'exploitation comme Metasploit, cassage de mots de passe via hashcat, et outils de post-exploitation tels que mimikatz ou Bloodhound.
Le tout est orchestré par un moteur d'IA compatible avec des modèles GPT, Claude ou DeepSeek. L'utilisateur peut lancer des attaques complexes par de simples commandes en langage naturel. L'outil gère la chaîne complète : reconnaissance, exploitation, analyse des vulnérabilités et exfiltration.
Le chercheur Will Thomas, conseiller chez Team Cymru, a identifié la bannière « CyberStrikeAI » sur le port 8080 de l'adresse IP 212.11.64.250. C'est exactement celle utilisée dans la campagne contre les pare-feu FortiGate documentée par Amazon. Cette infrastructure a été vue pour la dernière fois avec CyberStrikeAI actif le 30 janvier 2026. Au total, 21 adresses IP hébergeant cet outil ont été repérées entre le 20 janvier et le 26 février 2026, principalement en Chine, à Singapour et à Hong Kong.
Pourquoi les liens du développeur avec Pékin posent question
C'est ici que l'affaire prend une dimension géopolitique. Le développeur de CyberStrikeAI, connu sous le pseudonyme « Ed1s0nZ », ne semble pas être un simple passionné de sécurité informatique. Team Cymru a épluché son profil GitHub et relevé plusieurs signaux préoccupants.
En décembre 2025, Ed1s0nZ a partagé CyberStrikeAI avec le « Starlink Project » de Knownsec 404. Or Knownsec est une société chinoise de cybersécurité dont les liens avec le ministère de la Sécurité d'État ont été documentés par DomainTools, entre autres. En janvier 2026, le développeur a ajouté à son profil une mention faisant état d'un prix du CNNVD, la base nationale chinoise de vulnérabilités. Ce programme est directement géré par des structures gouvernementales.
Ed1s0nZ a aussi développé d'autres outils orientés vers l'exploitation : PrivHunterAI, qui utilise l'IA pour détecter des failles d'élévation de privilèges, et InfiltrateX, un outil dédié au même type de vulnérabilités. Le profil d'un développeur uniquement motivé par la recherche légitime commence sérieusement à s'effriter.
Le rapport CrowdStrike 2026 a relevé une hausse de 89 % des attaques assistées par l'IA en un an. CyberStrikeAI en est la démonstration la plus concrète : un outil en accès libre qui transforme un pirate de niveau moyen en opérateur capable de campagnes massives. L'IA ne crée pas de nouvelles menaces. Elle démocratise les anciennes avec une efficacité redoutable.
Quand un logiciel conçu pour tester la sécurité finit par la compromettre, ce n'est plus un paradoxe : c'est le modèle économique de la cybercriminalité en 2026.
