¿Herramienta de IA para protección? En 12 horas ya atacaba a Citrix — de forma automática, masiva e indiscriminada

En foros clandestinos, ciberdelincuentes afirmaron que comenzaron a usar HexStrike AI —un nuevo instrumento de código abierto para pruebas de penetración— contra vulnerabilidades de Citrix NetScaler literalmente pocas horas después de su divulgación. Así lo informó el evangelista de la empresa Check Point, Amit Weigman, señalando que la ventana entre la publicación de una vulnerabilidad y su explotación masiva se está reduciendo rápidamente.

El problema principal es la vulnerabilidad crítica CVE-2025-7775, que permite la ejecución remota de código sin autenticación. Se utilizó como día cero: los atacantes implantaban web shells y puertas traseras en dispositivos antes de que Citrix publicara un parche. Weigman advierte que, gracias a HexStrike AI, el volumen de ataques solo aumentará en los próximos días.

HexStrike AI fue desarrollado por el investigador de seguridad Muhammad Osama, y hace unas semanas publicó el proyecto en GitHub. Es un marco de IA para pruebas de penetración que puede integrarse con más de 150 herramientas, incluidas herramientas para escaneo de redes, análisis de aplicaciones web, ingeniería inversa y otras tareas. Además, se conecta a decenas de agentes basados en inteligencia artificial que buscan vulnerabilidades, automatizan la creación de exploits y generan nuevas cadenas de ataque.

En el repositorio de GitHub está indicado explícitamente que HexStrike AI no debe utilizarse para pruebas no autorizadas, robo de datos ni ninguna actividad ilegal. Sin embargo, casi inmediatamente después del lanzamiento, en recursos de la darknet surgieron discusiones sobre usar esta herramienta para explotar fallas en Citrix NetScaler. Según Check Point, apenas 12 horas después de la divulgación de CVE-2025-7775, los atacantes afirmaron que con su ayuda generaban exploits y buscaban instancias vulnerables de NetScaler.

Antes, ataques similares se consideraban tarea de especialistas experimentados: se necesitaba comprensión del funcionamiento de la memoria, las técnicas de evasión de autenticación y las particularidades de la arquitectura de NetScaler, lo que usualmente requería semanas de preparación. Ahora, señala el arquitecto de seguridad de Check Point Aaron Rose, estos ataques pueden automatizarse con IA en cuestión de minutos. Esto reduce drásticamente la barrera de entrada y permite llevar a cabo campañas a gran escala con ritmos para los cuales los sistemas de defensa aún no están preparados.

Aunque Check Point aún no tiene pruebas directas de que HexStrike AI ya se haya utilizado en ataques exitosos contra Citrix, los analistas observan señales preocupantes en las comunidades de atacantes. Según Rose, aparecerán en breve evidencias confirmadas de explotación.

El autor de la herramienta afirma que publicó HexStrike AI con la intención de beneficiar a los defensores. Según él, el objetivo del proyecto es acelerar las pruebas de penetración y la evaluación de la resiliencia de la infraestructura mediante la automatización de procesos y el uso de redes neuronales. Osama subraya que en el marco no hay exploits de día cero listos: solo organiza la cadena de acciones y permite integrar la lógica de usuarios externos. Además, el investigador deliberadamente no publica la versión RAG de HexStrike, la cual podría conectar dinámicamente datos sobre CVE y reconfigurar los escenarios de prueba en tiempo real.

RAG (Generación aumentada por recuperación) es un enfoque en el que los modelos de lenguaje se combinan con sistemas de búsqueda de información, lo que les permite generar resultados más precisos y con mejor contexto. Osama afirma que la misión de HexStrike es ofrecer a los especialistas en defensa las mismas capacidades adaptativas que ya usan activamente los atacantes. Según él, el futuro de la ciberseguridad es la orquestación basada en IA y agentes autónomos que formularán tanto estrategias ofensivas como defensivas.