Check Point Research, la división de Inteligencia de Amenazas Check Point® Software Technologies Ltd. (NASDAQ: CHKP), pionero y líder global en soluciones de ciberseguridad, advierte sobre el uso malicioso y acelerado de Hexstrike-AI, un nuevo framework impulsado por inteligencia artificial que ya está siendo utilizado para aprovechar vulnerabilidades críticas de zero-day.
Hexstrike-AI actúa como un “núcleo de coordinación” capaz de dirigir más de 150 agentes especializados de IA para escanear, explotar y mantener persistencia en sistemas de manera autónoma. En cuestión de horas tras su lanzamiento, en foros de la dark web se detectó actividad de ciberdelincuentes que empleaban el framework para aprovechar vulnerabilidades recientemente divulgadas en Citrix NetScaler ADC y Gateway.
Estas vulnerabilidades, de gran complejidad técnica, habrían requerido tradicionalmente días de explotación por parte de operadores expertos. Con Hexstrike-AI, los atacantes aseguran reducir ese tiempo a menos de 10 minutos.
Hace apenas unas semanas, expertos en ciberseguridad advertían sobre la llegada de una nueva arquitectura de ataque basada en la coordinación de múltiples agentes de IA bajo una capa de orquestación centralizada. Hexstrike-AI confirma esta predicción: concebido inicialmente como herramienta de pruebas de seguridad para equipos red team, ha sido rápidamente reapropiado por actores maliciosos.
En foros de la dark web ya circulan pruebas de concepto y discusiones sobre cómo explotar los CVE-2025-7775, CVE-2025-7776 y CVE-2025-8424, vulnerabilidades críticas de Citrix reveladas el 26 de agosto. El CVE-2025-7775, una ejecución remota de código no autenticado, ya está siendo explotado activamente en la naturaleza, con instalación de webshells en dispositivos comprometidos.
“Hexstrike-AI supone un punto de inflexión: lo que era un concepto teórico –la orquestación de ataques mediante IA– ya se ha materializado en una herramienta funcional que los atacantes están utilizando contra vulnerabilidades activas”, explica Manuel Rodríguez, Gerente de Ingeniería de Seguridad en NOLA de Check Point Software. “El reto para la comunidad de ciberseguridad es claro: acelerar los tiempos de respuesta, detectar de forma más inteligente y prepararse para una era donde la orquestación con IA será la norma”.
Cómo funciona Hexstrike-AI
Hexstrike-AI representa un cambio radical respecto a frameworks ofensivos anteriores:
· Su capa de orquestación MCP conecta modelos de lenguaje avanzados (Claude, GPT, Copilot) con más de 150 herramientas de ciberseguridad.
· Permite traducir instrucciones generales como “explotar NetScaler” en secuencias técnicas precisas y automatizadas.
· Integra funciones de descubrimiento, explotación, persistencia y exfiltración de datos, con capacidad de reintentos automáticos y resiliencia frente a fallos.
· Facilita la automatización masiva de ataques, con escaneos paralelos sobre miles de direcciones IP y adaptación dinámica de técnicas en tiempo real.
Implicaciones para la defensa
La liberación de Hexstrike-AI acelera de forma drástica la ventana entre la divulgación de una vulnerabilidad y su explotación masiva. Para mitigar este riesgo, Check Point Software recomienda a las empresas:
· Aplicar inmediatamente los parches publicados por Citrix y reforzar las configuraciones de autenticación y acceso.
· Adoptar detecciones adaptativas basadas en inteligencia actualizada y análisis dinámico de comportamiento.
· Incorporar defensas impulsadas por IA, capaces de correlacionar telemetría y responder de manera autónoma a escala de máquina.
· Reducir los ciclos de parcheo, implementando validación y despliegue automatizado.
· Fortalecer la resiliencia estructural de sus sistemas mediante segmentación, privilegios mínimos y planes sólidos de recuperación.
Hexstrike-AI marca un hito. Lo que antes era una arquitectura conceptual (un cerebro central de orquestación que dirigía a los agentes de IA) ahora se ha convertido en una herramienta práctica. Y ya se está aplicando contra ataques de día cero activos.
Para los defensores, indicamos la urgencia para abordar las vulnerabilidades actuales y previsión para prepararse para un futuro donde la orquestación basada en IA sea la norma. Cuanto antes se adapte la comunidad de seguridad, aplicando parches más rápido, detectando con mayor inteligencia y respondiendo a la velocidad de una máquina, mayor será nuestra capacidad para mantener el ritmo en esta nueva era de ciberconflictos.
