Los actores de amenazas patrocinados por el estado de China utilizaron tecnología de inteligencia fabricado (IA) desarrollada por Anthropic para orquestar ciberataques automatizados como parte de una “campaña de espionaje mucho sofisticada” a mediados de septiembre de 2025.
“Los atacantes utilizaron las capacidades ‘agentivas’ de la IA en un división sin precedentes: utilizando la IA no sólo como asesor, sino para ejecutar los ataques cibernéticos ellos mismos”, dijo el intruso de la IA.
Se estima que la actividad manipuló Claude Code, la útil de codificación de inteligencia fabricado de Anthropic, para intentar penetrar en unos 30 objetivos globales que abarcan grandes empresas de tecnología, instituciones financieras, empresas de fabricación de productos químicos y agencias gubernamentales. Un subconjunto de estas intrusiones tuvo éxito. Desde entonces, Anthropic ha prohibido las cuentas relevantes y ha diligente mecanismos defensivos para detectar tales ataques.
La campaña, GTG-1002, marca la primera vez que un actor de amenazas aprovecha la IA para tolerar a término un “ciberataque a gran escalera” sin intervención humana importante y para compilar inteligencia atacando objetivos de parada valía, lo que indica una transformación continua en el uso adversario de la tecnología.
Al describir la operación como correctamente dotada de posibles y coordinada profesionalmente, Anthropic dijo que el actor de amenazas convirtió a Claude en un “agente de ciberataque autónomo” para respaldar varias etapas del ciclo de vida del ataque, incluido el examen, el descubrimiento de vulnerabilidades, la explotación, el movimiento contiguo, la casa recoleta de credenciales, el estudio de datos y la exfiltración.
Específicamente, implicó el uso de herramientas Claude Code y Model Context Protocol (MCP), donde el primero actúa como el sistema nervioso central para procesar las instrucciones de los operadores humanos y dividir el ataque de múltiples etapas en pequeñas tareas técnicas que pueden descargarse a subagentes.
“El cámara humano asignó instancias de Claude Code para actuar en grupos como orquestadores y agentes autónomos de pruebas de penetración, y el actor de amenazas pudo emplear la IA para ejecutar el 80-90% de las operaciones tácticas de forma independiente a tasas de solicitud físicamente imposibles”, agregó la compañía. “Las responsabilidades humanas se centraron en las decisiones de inicialización y autorización de campañas en puntos críticos de ascenso”.
La billete humana incluso se produjo en coyunturas estratégicas, como autorizar la progresión del examen a la explotación activa, aprobar el uso de credenciales recopiladas para el movimiento contiguo y tomar decisiones finales sobre el resonancia y la retención de la exfiltración de datos.
El sistema es parte de un situación de ataque que acepta como entrada un objetivo de interés de un cámara humano y luego aprovecha el poder de MCP para realizar examen y mapeo de la superficie de ataque. En las siguientes fases del ataque, el situación basado en Claude facilita el descubrimiento de vulnerabilidades y valida las fallas descubiertas generando cargas avíos de ataque personalizadas.
Tras obtener la aprobación de los operadores humanos, el sistema procede a implementar el exploit y obtener un punto de apoyo, e iniciar una serie de actividades posteriores a la explotación que implican casa recoleta de credenciales, movimiento contiguo, resumen y extirpación de datos.
En un caso dirigido a una empresa de tecnología no identificada, se dice que el actor de amenazas le ordenó a Claude que consultara de forma independiente bases de datos y sistemas y analizara los resultados para marcar información patentada y agrupar los hallazgos por valía de inteligencia. Es más, Anthropic dijo que su útil de inteligencia fabricado generó documentación detallada del ataque en todas las fases, lo que permitió a los actores de la amenaza probablemente entregar camino persistente a equipos adicionales para operaciones a espacioso plazo a posteriori de la ola auténtico.
“Al presentar estas tareas a Claude como solicitudes técnicas de rutina a través de indicaciones cuidadosamente diseñadas y personas establecidas, el actor de amenazas pudo inducir a Claude a ejecutar componentes individuales de cadenas de ataque sin camino al contexto taimado más amplio”, según el referencia.
No hay evidencia de que la infraestructura operativa permitiera el incremento de malware personalizado. Más correctamente, se ha descubierto que depende en gran medida de escáneres de red disponibles públicamente, marcos de explotación de bases de datos, descifradores de contraseñas y conjuntos de estudio binarios.
Sin retención, la investigación sobre la actividad incluso ha descubierto una término crucial de las herramientas de IA: su tendencia a delirar y imaginar datos durante operaciones autónomas (elaborando credenciales falsas o presentando información apto públicamente como descubrimientos críticos), lo que plantea importantes obstáculos a la poder normal del plan.
La divulgación se produce casi cuatro meses a posteriori de que Anthropic interrumpiera otra operación sofisticada que utilizó a Claude como armas para tolerar a término robo y trastorno a gran escalera de datos personales en julio de 2025. Durante los últimos dos meses, OpenAI y Google incluso han revelado ataques organizados por actores de amenazas que aprovechan ChatGPT y Gemini, respectivamente.
“Esta campaña demuestra que las barreras para realizar ciberataques sofisticados han disminuido sustancialmente”, dijo la compañía.
“Los actores de amenazas ahora pueden usar sistemas de IA agentes para hacer el trabajo de equipos enteros de hackers experimentados con la configuración adecuada, analizando sistemas objetivo, produciendo códigos de explotación y escaneando vastos conjuntos de datos de información robada de modo más efectivo que cualquier cámara humano. Grupos con menos experiencia y menos posibles ahora pueden realizar potencialmente ataques a gran escalera de esta naturaleza”.
