Nova framework Hexstrike-AI permite a agentes maliciosos explorar vulnerabilidades críticas em poucos minutos, obrigando as organizações a repensar urgentemente as suas estratégias de cibersegurança.
Investigadores da equipa de Gestão de Risco Externo da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), pioneira e líder mundial em soluções de cibersegurança, identificaram uma nova estrutura chamada Hexstrike-AI, que representa um avanço significativo na forma como os ciberataques estão a ser orquestrados.
Num artigo recente, a Check Point analisava a ideia de um “cérebro” por trás da nova geração de ciberataques: uma camada de orquestração capaz de coordenar múltiplos agentes de IA especializados para executar operações complexas em larga escala. A chegada do Hexstrike-AI confirma esse conceito.
Inicialmente promovido como uma ferramenta de segurança ofensiva para equipas de red teaming e investigadores, com uma arquitetura que combina modelos de linguagem (LLMs) e ferramentas profissionais de cibersegurança, o Hexstrike-AI foi rapidamente desviado para fins maliciosos. Em poucas horas, já havia discussões nos fóruns subterrâneos sobre a sua aplicação para explorar vulnerabilidades zero-day em appliances Citrix NetScaler, reveladas em 26 de agosto.
A arquitetura do Hexstrike-AI
O Hexstrike-AI representa uma mudança radical nas operações ofensivas. No seu centro está uma camada de abstração e orquestração que permite que modelos de IA como Claude, GPT ou Copilot executem automaticamente ferramentas de segurança, sem necessidade de supervisão humana.
O que o Hexstrike-AI faz é introduzir Agentes MCP, uma espécie de servidor avançado que faz a ligação entre os LLMs e capacidades ofensivas reais, onde os agentes de IA podem operar mais de 150 ferramentas diferentes, desde testes de penetração e deteção de vulnerabilidades, até automação de programas de bug bounty.
Esta forma de atuação espelha exatamente o conceito descrito no nosso blog: trata-se de um autêntico cérebro de orquestração que remove as barreiras existentes, ao decidir que ferramentas usar e como se adaptar em tempo real.
Analisámos o código-fonte e a arquitetura do Hexstrike-AI e identificámos vários aspetos importantes do seu design:
- Camada de Orquestração MCP: Atua como o cérebro do sistema. Permite que modelos como GPT ou Claude controlem diretamente ferramentas de segurança, emitindo comandos de forma programada e sem supervisão humana.
- Integração de Ferramentas em Escala: Suporte nativo para mais de 150 ferramentas como Nmap. Todas as ferramentas são convertidas em funções uniformes, facilitando a automação e a integração em massa.
- Automação e Resiliência: Possui mecanismos de repetição automática e recuperação de falhas. Garante a continuidade de ataques mesmo se houver falhas temporárias durante o processo.
- Tradução de Intenção para Execução: Comandos genéricos são transformados em ações técnicas específicas. O sistema entende “explorar NetScaler” e executa os passos certos automaticamente.
Qual a importância desta descoberta?
O lançamento do Hexstrike-AI já seria preocupante por si só, mas o impacto é agravado pelo timing. No mesmo dia da sua divulgação, a Citrix anunciou três vulnerabilidades críticas, que afetam os appliances NetScaler ADC e NetScaler Gateway:
- CVE-2025-7775 – Execução remota de código não autenticado. Já explorada em ambiente real, com webshells observados.
- CVE-2025-7776 – Falha de gestão de memória nos processos centrais do NetScaler. Ainda sem confirmação de exploração, mas de alto risco.
- CVE-2025-8424 – Fragilidade nos controlos de acesso das interfaces de gestão. Também sem confirmação em ambiente real, mas expõe caminhos críticos de controlo.
A exploração destas falhas exige conhecimentos técnicos avançados, já que estas implicam conhecimentos em operações de memória, bypasses de autenticação e particularidades da arquitetura do NetScaler. Isto habitualmente exigiria operadores altamente qualificados e semanas de desenvolvimento.
Com o Hexstrike-AI, essas barreiras parecem ter desaparecido. Nas 12 horas seguintes à divulgação das vulnerabilidades, observaram-se discussões em fóruns underground sobre o uso do Hexstrike-AI para localizar e explorar instâncias vulneráveis do NetScaler. Em vez de semanas de desenvolvimento, a IA automatiza tarefas como reconhecimento, criação de exploits e entrega de cargas maliciosas.
Alguns atores chegaram mesmo a colocar à venda as instâncias vulneráveis que conseguiram identificar usando esta ferramenta.
As implicações desta nova forma de atuar são as seguintes:
- Uma tarefa que demoraria dias ou semanas a um operador humano pode agora ser iniciada em menos de 10 minutos.
- A exploração pode ser paralelizada em grande escala, com agentes a analisar milhares de IPs em simultâneo.
- A tomada de decisão torna-se adaptativa; tentativas falhadas são automaticamente reexecutadas com variações até obter sucesso.
- A janela entre a divulgação da vulnerabilidade e a exploração em massa encurta-se drasticamente. A CVE-2025-7775 já está a ser explorada e, com o Hexstrike-AI, o volume de ataques irá aumentar rapidamente.
Medidas para os defensores
A prioridade imediata é clara: aplicar imediatamente as atualizações disponibilizadas pela Citrix. O relatório técnico da Check Point detalha medidas adicionais, como o reforço da autenticação, restrição de acessos e monitorização ativa para deteção de webshells.
Mas o Hexstrike-AI representa mais do que uma ameaça pontual. É uma mudança de paradigma, e as equipas de cibersegurança das organizações devem aplicar as seguintes medidas:
- Deteção adaptativa: os métodos tradicionais já não chegam. As soluções de segurança precisam de aprender com ataques em tempo real.
- Defesa baseada em IA: tal como os atacantes orquestram ofensivas com IA, os defensores devem adotar sistemas capazes de detetar e responder autonomamente.
- Redução dos ciclos de correções: quando o tempo de exploração se mede em horas, os processos de atualização não podem demorar semanas.
- Inteligência de ameaças em tempo real: monitorizar as conversas no dark web é agora um fator crítico para obter vantagem antecipada.
- Resiliência estrutural: assumir que a intrusão vai acontecer e planear em conformidade – com segmentação, princípio do menor privilégio e capacidades robustas de recuperação.
Conclusão
O Hexstrike-AI representa um momento decisivo. O que antes era uma teoria — uma IA orquestradora de ataques com agentes de IA — tornou-se realidade. E já está a ser aplicada em vulnerabilidades zero-day.
Como já alertámos anteriormente, é urgente atuar perante as vulnerabilidades atuais e preparar-se para um futuro em que a orquestração por IA será o novo padrão nos ciberataques.
Quanto mais depressa a comunidade de cibersegurança se adaptar, com correções mais rápidas, deteções mais inteligentes e respostas em tempo real, maior será a capacidade de manter a segurança dos nossos dados num cenário de conflito digital cada vez mais automatizado.
Siga a Check Point Software:
- X: http://www.twitter.com/checkpointsw
- Blog: http://blog.checkpoint.com
- YouTube: http://www.youtube.com/user/CPGlobal
Sobre a Check Point Software Technologies Ltd.
A Check Point Software Technologies Ltd. (www.checkpoint.com) é um fornecedor líder de plataformas de cibersegurança alimentadas por IA e fornecidas na cloud, protegendo mais de 100.000 organizações em todo o mundo. A Check Point aproveita o poder da IA em todo o lado para melhorar a eficiência e a precisão da cibersegurança através da sua Plataforma Infinity, com taxas de captura líderes na indústria, permitindo uma antecipação proativa de ameaças e tempos de resposta mais inteligentes e rápidos. A plataforma abrangente inclui tecnologias fornecidas pela cloud que consistem em Check Point Harmony para proteger o espaço de trabalho, Check Point CloudGuard para proteger a cloud, Check Point Quantum para proteger a rede e Check Point Infinity Core Services para operações e serviços de segurança colaborativos.
Mais informações aqui.
