Gli esperti di Straiker hanno annunciato un nuovo strumento chiamato Villager, che è stato scaricato quasi 10.000 volte dal repository ufficiale PyPI dal suo rilascio a luglio. Il programma si posiziona come client Model Context Protocol e combina decine di strumenti per l’audit di rete, ma allo stesso tempo contiene tutto il necessario per condurre attacchi in modalità completamente automatizzata.

Simile a Cobalt Strike, Villager può essere utilizzato sia per scopi legittimi che come piattaforma offensiva per aggressori che non necessitano nemmeno di una formazione tecnica approfondita. Villager include container Kali Linux, centinaia di strumenti di analisi e exploit e l’integrazione con i modelli di linguaggio DeepSeek.

Gli sviluppatori hanno aggiunto un ampio database di 4.201 query pre-preparate per la generazione di exploit, che consente al sistema di adattare in modo indipendente gli attacchi a obiettivi specifici. Inoltre, sono stati implementati sofisticati meccanismi di rilevamento, la creazione automatica di container isolati per la scansione e il test e una funzione di autodistruzione dei container dopo 24 ore per nascondere le tracce.

Villager è in grado di ricostruire la strategia di attacco in tempo reale: quando viene rilevato WordPress, WPScan viene avviato automaticamente, quando viene trovato un endpoint API, l’automazione del browser viene attivata per verificare l’autenticazione. Se viene rilevata una vulnerabilità di contaminazione del prototipo sul lato client, lo strumento genera un payload, monitora il traffico di rete e, in caso di successo, si insinua nel sistema. Il report di Straiker fornisce esempi di catene multi-step: dalla scansione iniziale all’implementazione di meccanismi di persistenza.

La ricerca ha dimostrato che il progetto è collegato a un’organizzazione cinese chiamata Cyberspike, registrata nel novembre 2023 a Changchun Anshanyuan Technology Co. Nonostante l’indirizzo e la registrazione ufficiali, l’azienda non dispone di un sito web completo né di informazioni sui dipendenti, e il suo sito web è stato chiuso all’inizio del 2024. Una precedente linea di prodotti Cyberspike è stata caricata su VirusTotal, dove i ricercatori hanno trovato AsyncRATincorporato e plugin per strumenti popolari come Mimikatz . L’analisi ha confermato che Cyberspike stava in realtà riconfezionando malware noti come kit per il pentesting e operazioni potenzialmente offensive.

L’autore di Villager, noto con il nickname @stupidfish001, ha precedentemente partecipato al team cinese CTF HSCSEC. Queste competizioni, come sottolineano i ricercatori, servono tradizionalmente come canale per formare specialisti e attrarli verso strutture legate alle operazioni informatiche. Il codice di Villager contiene commenti in cinese e il servizio continua a utilizzare il dominio dell’azienda, il che indica un utilizzo attivo della sua infrastruttura.

Da luglio, Straiker ha registrato download stabili del pacchetto: circa 200 download ogni tre giorni. In totale, il numero di installazioni ha raggiunto quota 9952 su vari sistemi operativi, tra cui Linux, macOS e Windows. Allo stesso tempo, il prodotto rimane disponibile in open source e continua a essere distribuito tramite PyPI.

Secondo gli esperti, gli aggressori stanno rapidamente imparando a usare l’intelligenza artificiale per automatizzare gli attacchi e la velocità di questo processo richiede alle aziende di adottare un approccio simmetrico, implementando le proprie soluzioni di protezione basate sull’intelligenza artificiale con lo stesso livello di efficienza.

L'articolo Villager: lo strumento di attacco con Kali Linux e DeepSeek che allarma gli esperti proviene da il blog della sicurezza informatica.