Check Point Research, la división de Inteligencia de Amenazas Check Point® Software Technologies Ltd., empresa global en soluciones de ciberseguridad, advierte sobre el uso malicioso y acelerado de Hexstrike-AI, un nuevo framework impulsado por inteligencia artificial que ya está siendo utilizado para aprovechar vulnerabilidades críticas de zero-day.

Hexstrike-AI actúa como un “núcleo de coordinación” capaz de dirigir más de 150 agentes especializados de IA para escanear, explotar y mantener persistencia en sistemas de manera autónoma. En cuestión de horas tras su lanzamiento, en foros de la dark web se detectó actividad de ciberdelincuentes que empleaban el framework para aprovechar vulnerabilidades recientemente divulgadas en Citrix NetScaler ADC y Gateway.

Estas vulnerabilidades, de gran complejidad técnica, habrían requerido tradicionalmente días de explotación por parte de operadores expertos. Con Hexstrike-AI, los atacantes aseguran reducir ese tiempo a menos de 10 minutos.

Hace apenas unas semanas, expertos en ciberseguridad advertían sobre la llegada de una nueva arquitectura de ataque basada en la coordinación de múltiples agentes de IA bajo una capa de orquestación centralizada. Hexstrike-AI confirma esta predicción: concebido inicialmente como herramienta de pruebas de seguridad para equipos red team, ha sido rápidamente reapropiado por actores maliciosos.

En foros de la dark web ya circulan pruebas de concepto y discusiones sobre cómo explotar los CVE-2025-7775, CVE-2025-7776 y CVE-2025-8424, vulnerabilidades críticas de Citrix reveladas el 26 de agosto. El CVE-2025-7775, una ejecución remota de código no autenticada, ya está siendo explotado activamente en la naturaleza, con instalación de webshells en dispositivos comprometidos.

Cómo funciona Hexstrike-AI

Hexstrike-AI representa un cambio radical respecto a frameworks ofensivos anteriores:

• Su capa de orquestación MCP conecta modelos de lenguaje avanzados (Claude, GPT, Copilot) con más de 150 herramientas de ciberseguridad.
• Permite traducir instrucciones generales como “explotar NetScaler” en secuencias técnicas precisas y automatizadas.
• Integra funciones de descubrimiento, explotación, persistencia y exfiltración de datos, con capacidad de reintentos automáticos y resiliencia frente a fallos.
• Facilita la automatización masiva de ataques, con escaneos paralelos sobre miles de direcciones IP y adaptación dinámica de técnicas en tiempo real.

Implicaciones para la defensa

La liberación de Hexstrike-AI acelera de forma drástica la ventana entre la divulgación de una vulnerabilidad y su explotación masiva. Para mitigar este riesgo, Check Point Software recomienda a las empresas:

• Aplicar inmediatamente los parches publicados por Citrix y reforzar las configuraciones de autenticación y acceso.
• Adoptar detecciones adaptativas basadas en inteligencia actualizada y análisis dinámico de comportamiento.
• Incorporar defensas impulsadas por IA, capaces de correlacionar telemetría y responder de manera autónoma a escala de máquina.
• Reducir los ciclos de parcheo, implementando validación y despliegue automatizado.
• Fortalecer la resiliencia estructural de sus sistemas mediante segmentación, privilegios mínimos y planes sólidos de recuperación.

“Hexstrike-AI supone un punto de inflexión: lo que era un concepto teórico –la orquestación de ataques mediante IA– ya se ha materializado en una herramienta funcional que los atacantes están utilizando contra vulnerabilidades activas”, explica Mario García, director general de Check Point Software para España y Portugal. “El reto para la comunidad de ciberseguridad es claro: acelerar los tiempos de respuesta, detectar de forma más inteligente y prepararse para una era donde la orquestación con IA será la norma”.