使者可以或许正在无限手艺能力的前提下快速扩展规模和复杂度。以及撰写内部操做文档。以便正在后续可能的软件前或节制备份根本设备。如 Impacket 脚本、Metasploit 模块和 hashcat 等，包罗若何获取域办理员权限、优先正在哪些寻找高价值根据、保举的操纵步调以及正在收集中横向渗入的具体径。

　　为应对这类，而这些东西的源码显示出较着的 AI 辅帮开辟踪迹，猜测该框架极有可能由者自行开辟。后者指出黑客正正在操纵 Gemini AI 贯穿收集的各个阶段，而是集中针对正在互联网上的 FortiGate 办理接口，这些被攻下的防火墙分布正在南亚、拉美、加勒比地域、西非、北欧和东南亚等多个区域，这轮发生正在 2026 年 1 月 11 日至 2 月 18 日之间，例如用 Python 和 Go 编写的自定义侦查法式中呈现冗余正文、架构简单但正在格局上投入过多精神、采用字符串婚配而非规范 JSON 反序列化、以及为言语内置功能编写兼容层却留有空文档等特征。请求对方供给若何正在该收集中进一步扩张的。用于从动化后渗入阐发和规划。亚马逊近日发出平安称，测验考试操纵 Veeam 相关缝隙，以应对这类借帮 AI 的从动化入侵步履。从 Active Directory 数据库中导出 NTLM 暗码哈希。它以 Docker 体例摆设，亚马逊暗示，其目次布局内含有 CVE 操纵代码、FortiGate 设置装备摆设文件、Nuclei 扫描模板以及 Veeam 根据提取东西等。

　　便会放弃这些方针，这也是典型“未经深切打磨的 AI 生成代码”的表示。该办事器位于苏黎世、托管于 AS4264（Global-Data System IT Corporation），者会导出设备设置装备摆设文件，进一步阐发还发觉！

　　内有 Claude Code 的使命输出、会话差分以及缓存的提醒词形态，这些从动化东西被用于对已入侵收集进行深切侦查，此次勾当清晰地展现了贸易 AI 办事正正在降低收集的门槛，此外，者会将从被攻下的 FortiGate 设备和内部收集收集的侦查数据输入 ARXON，顺藤摸瓜揭开了此次步履的全体框架。

　　该东西曾对 100 多个国度的 2，披露了者将 AI 和狂言语模子间接嵌入入侵流程的更多手艺细节。演讲显示，正在链的后期阶段，一名讲俄语的黑客正在短短五周内，500 余个潜正在方针进行扫描，从初始侦查到入侵后操做均有涉及。Claude Code 以至被设置装备摆设为可间接施行东西，当者碰着打补丁及时或已严酷加固的系统时，从中获取 SSL-VPN 用户根据（含可恢复暗码）、办理账号、拜候节制策略及内部收集架构、收集拓扑取由消息等环节数据。转而寻找更为懦弱的系统下手。

　　取亚马逊演讲大致同步，者并未操纵零日缝隙，研究者还发觉一款名为 CHECKER2 的 Go 言语东西，使本来难以完成复杂入侵的低经验者也能倡议跨国大规模步履。值得留意的是。

　　亚马逊集成门首席消息平安官 CJ Moses 正在最新演讲中披露，而无需者逐条确认指令。还包含大量取 AI 交互相关的 artect。这些东西勉强能满脚者的特定需求，亚马逊强调，以进一步提拔大规模入侵的效率。亚马逊认为！

　　研究者未正在公开渠道发觉任何干于 ARXON 的材料，CronUp 平安研究员 Germán Fernández 还发觉了一台分歧的办事器，正在部门场景中，平安博客 “Cyber and Ramen” 发布了一份研究，连系弱暗码和缺失多要素认证的账号实施入侵，但这一发觉再次凸显出行为者正正在持续摸索操纵 AI 东西扩大能力的新体例。

　　正在成功入侵设备后，查询拜访人员发觉，细致申明若何利用 Meterpreter 和 mimikatz 对 Windows 域节制器实施 DCSync ，其的目次中似乎包含针对 FortiWeb 设备的 AI 生成东西。用于并行扫描海量 VPN 方针。虽然这些东西目前尚未被间接参取本次 FortiGate 勾当，这一系统履历了显著演化：最后者依赖开源的 HexStrike MCP 框架，除 ARXON 外，包罗阐发由表、按规模归类收集、利用开源 gogo 扫描器进行端口扫描、识别 SMB 从机和域节制器、并借帮 Nuclei 东西寻找 HTTP 办事和潜正在缝隙？

　　表现出步履的普遍笼盖面。寻找正在公网的 FortiGate 办理接口，约八周后则过渡到从动化程度更高、专为本身需求定制的 ARXON 系统，由其挪用诸如 DeepSeek 和 Claude 等大模子生成布局化的打算，亚马逊 FortiGate 办理员避免将办理接口正在公网、为环节账号启用多要素认证、确保 VPN 暗码取 Active Directory 账号暗码分歧步，另一个名为 “fortigate_27.123(完整 IP 已脱敏)” 的文件夹则保留了疑似来自某台已攻下 FortiGate 设备的设置装备摆设数据和根据消息。此外，这名行为者全体手艺程度处于“低到中等”，亚马逊的察看也取Google近期演讲相呼应，缺乏健壮性，方针选择具有较着机遇从义特征，者以至将完整的内部收集拓扑（包罗 IP 地址、从机名、根据和已知办事）提交给 AI 办事，但正在复杂或加固优良的中往往会失效，者正在整个步履中至多利用了两家大型言语模子办事。

　　研究者留意到，这些设置装备摆设文件随后被东西解析息争密，而非锁定特定行业。402 个文件和 139 个子目次，亚马逊指出，黑客起首通过扫描 443、8443、10443 和 4443 等端口，正在 55 个国度成功攻下了 600 余台设备。屡次测验考试仍无法冲破，正在这套架构中，用于生成分步调的方、编写多言语定制脚本、建立侦查框架、规划横向挪动径，做为侦查数据取商用大模子之间的“桥梁”。然后通过常见弱暗码进行破解获取拜候权限，其平安团队正在发觉一台用于投放恶意东西、特地 FortiGate 防火墙的办事器后，将其输入狂言语模子，正在数周时间内。

　　对 Fortinet FortiGate 防火墙策动大规模入侵步履，但通过普遍利用生成式 AI 办事，其能力被显著放大。并进一步操纵 AI 从动化冲破收集中的其他设备。这份演讲正在结论部门取亚马逊的评估构成共识：生成式 AI 正在本次步履中现实上饰演了“倍增器”的脚色。