Door de staat gesponsorde dreigingsactoren uit China gebruikten door Anthropic ontwikkelde kunstmatige intelligentie (AI)-technologie om geautomatiseerde cyberaanvallen te orkestreren als onderdeel van een “zeer geavanceerde spionagecampagne” medio september 2025.
“De aanvallers gebruikten de ‘agentische’ mogelijkheden van AI in een ongekende mate – waarbij ze AI niet alleen als adviseur gebruikten, maar ook om de cyberaanvallen zelf uit te voeren”, aldus de AI-parvenu.
Er wordt aangenomen dat de activiteit Claude Code, de AI-coderingstool van Anthropic, heeft gemanipuleerd om te proberen in te breken in ongeveer 30 mondiale doelen, waaronder grote technologiebedrijven, financiële instellingen, chemische productiebedrijven en overheidsinstanties. Een subset van deze inbraken slaagde. Anthropic heeft sindsdien de relevante accounts verboden en defensieve mechanismen afgedwongen om dergelijke aanvallen te signaleren.
De campagne, GTG-1002, markeert de eerste keer dat een bedreigingsactoren AI heeft ingezet om een ‘grootschalige cyberaanval’ uit te voeren zonder grote menselijke tussenkomst en voor het verzamelen van inlichtingen door waardevolle doelen aan te vallen, wat wijst op een voortdurende evolutie in het vijandige gebruik van de technologie.
Anthropic beschrijft de operatie als goed uitgerust en professioneel gecoördineerd en zei dat de bedreigingsacteur Claude in een ‘autonome cyberaanvalagent’ heeft veranderd ter ondersteuning van verschillende stadia van de aanvalslevenscyclus, waaronder verkenning, ontdekking van kwetsbaarheden, uitbuiting, laterale beweging, het verzamelen van inloggegevens, data-analyse en exfiltratie.
Concreet ging het om het gebruik van Claude Code en Model Context Protocol (MCP)-tools, waarbij de eerste fungeerde als het centrale zenuwstelsel om de instructies van de menselijke operators te verwerken en de meerfasige aanval op te splitsen in kleine technische taken die kunnen worden overgedragen aan subagenten.
“De menselijke operator gaf instanties van Claude Code de opdracht om in groepen te opereren als autonome orkestrators en agenten voor penetratietests, waarbij de bedreigingsacteur AI kon gebruiken om 80-90% van de tactische operaties onafhankelijk uit te voeren tegen fysiek onmogelijke verzoeksnelheden”, voegde het bedrijf eraan toe. “Menselijke verantwoordelijkheden concentreerden zich op campagne-initialisatie en autorisatiebeslissingen op kritieke escalatiepunten.”
Menselijke betrokkenheid vond ook plaats op strategische momenten, zoals het autoriseren van de overgang van verkenning naar actieve exploitatie, het goedkeuren van het gebruik van verzamelde inloggegevens voor laterale verplaatsing en het nemen van definitieve beslissingen over de reikwijdte en retentie van data-exfiltratie.
Het systeem maakt deel uit van een aanvalsraamwerk dat als input een interessant doelwit van een menselijke operator accepteert en vervolgens de kracht van MCP gebruikt om verkenningen uit te voeren en het aanvalsoppervlak in kaart te brengen. In de volgende fasen van de aanval vergemakkelijkt het op Claude gebaseerde raamwerk het ontdekken van kwetsbaarheden en valideert het ontdekte fouten door op maat gemaakte aanvalsladingen te genereren.
Na goedkeuring van menselijke operators gaat het systeem verder met het inzetten van de exploit en het verkrijgen van voet aan de grond, en initieert het een reeks post-exploitatieactiviteiten, waaronder het verzamelen van inloggegevens, laterale verplaatsing, het verzamelen van gegevens en het extraheren ervan.
In één geval dat zich richtte op een niet bij naam genoemd technologiebedrijf, zou de bedreigingsacteur Claude de opdracht hebben gegeven om onafhankelijk databases en systemen te doorzoeken en de resultaten te analyseren om eigendomsinformatie te markeren en de bevindingen te groeperen op basis van de waarde van de inlichtingen. Bovendien zei Anthropic dat zijn AI-tool in alle fasen gedetailleerde aanvalsdocumentatie genereerde, waardoor de bedreigingsactoren na de eerste golf waarschijnlijk blijvende toegang konden overdragen aan extra teams voor langetermijnoperaties.
“Door deze taken aan Claude te presenteren als routinematige technische verzoeken via zorgvuldig opgestelde aanwijzingen en gevestigde persona’s, kon de bedreigingsacteur Claude ertoe aanzetten individuele componenten van aanvalsketens uit te voeren zonder toegang tot de bredere kwaadaardige context”, aldus het rapport.
Er is geen bewijs dat de operationele infrastructuur de ontwikkeling van malware op maat mogelijk maakte. In plaats daarvan is gebleken dat het in grote mate afhankelijk is van openbaar beschikbare netwerkscanners, database-exploitatieframeworks, wachtwoordkrakers en binaire analysesuites.
Onderzoek naar deze activiteit heeft echter ook een cruciale beperking van AI-instrumenten aan het licht gebracht: hun neiging om te hallucineren en gegevens te fabriceren tijdens autonome operaties – het verzinnen van valse inloggegevens of het presenteren van openbaar beschikbare informatie als kritische ontdekkingen – waardoor grote obstakels worden opgeworpen voor de algehele effectiviteit van het plan.
De onthulling komt bijna vier maanden nadat Anthropic in juli 2025 een andere geavanceerde operatie verstoorde die Claude bewapende om grootschalige diefstal en afpersing van persoonlijke gegevens uit te voeren. De afgelopen twee maanden hebben OpenAI en Google ook aanvallen onthuld die zijn uitgevoerd door bedreigingsactoren die respectievelijk ChatGPT en Gemini gebruiken.
“Deze campagne laat zien dat de barrières voor het uitvoeren van geavanceerde cyberaanvallen substantieel zijn gedaald”, aldus het bedrijf.
“Dreigingsactoren kunnen nu agentische AI-systemen gebruiken om het werk van hele teams van ervaren hackers uit te voeren met de juiste opzet, doelsystemen analyseren, exploitcode produceren en enorme datasets met gestolen informatie efficiënter scannen dan welke menselijke operator dan ook. Minder ervaren en minder middelen beschikkende groepen kunnen nu potentieel grootschalige aanvallen van deze aard uitvoeren.”
