LLMs na Kill Chain: Por Dentro de um MCP Personalizado Mirando Dispositivos FortiGate em Vários Continentes

Um servidor mal configurado revelou um toolkit de intrusão completo onde um ator de ameaças integrou LLMs diretamente ao workflow de ataque, utilizando DeepSeek para gerar planos de ataque a partir de dados de reconhecimento e Claude Code para conduzir avaliações de vulnerabilidade em tempo real. Este ataque mirou appliances FortiGate em 106 países, com 2.516 alvos identificados.

Ferramentas personalizadas como ARXON, um servidor MCP que faz a ponte entre a análise de LLMs e scripts de ataque, e CHECKER2, um orquestrador Docker baseado em Go, automatizaram todo o pipeline: desde a ingestão de configurações de VPN roubadas e o escaneamento interno até o planejamento de exploração guiado por LLMs. Este sistema evoluiu do framework open-source HexStrike em aproximadamente oito semanas. Defensores devem auditar contas de VPN não autorizadas, acessos SSH inesperados e mudanças não aprovadas nas políticas de firewall, pois a abordagem de modelo duplo — selecionando o LLM mais permissivo para cada tarefa — reduz a barreira de habilidades para gerenciar intrusões simultâneas em escala.