Státem sponzorovaní hackeři z Číny využili technologii umělé inteligence vyvinutou společností Anthropic k orchestraci automatizovaných kybernetických útoků v rámci „vysoce sofistikované špionážní kampaně“ v polovině září 2025.
„Útočníci využili ‚agentní‘ schopnosti AI v bezprecedentní míře – používali AI nejen jako poradce, ale i k provádění samotných kybernetických útoků,“ uvedl startup zaměřený na AI.
Odhaduje se, že aktivita zmanipulovala Claude Code, nástroj pro kódování AI od společnosti Anthropic, aby se pokusila proniknout do přibližně 30 globálních cílů zahrnujících velké technologické společnosti, finanční instituce, chemické výrobní společnosti a vládní agentury. Část těchto vniknutí byla úspěšná. Anthropic od té doby zakázal příslušné účty a zavedl obranné mechanismy pro označování takových útoků.
Kampaň GTG-1002 představuje poprvé, kdy aktér hrozby využil AI k provedení „rozsáhlého kybernetického útoku“ bez větší lidské intervence a pro sběr zpravodajských informací útokem na vysoce hodnotné cíle, což naznačuje pokračující vývoj v nepřátelském využívání této technologie.
Anthropic popisuje operaci jako dobře vybavenou a profesionálně koordinovanou a uvedl, že aktér hrozby proměnil Claude v „autonomního agenta kybernetických útoků“ na podporu různých fází životního cyklu útoku, včetně průzkumu, objevování zranitelností, zneužití, laterálního pohybu, získávání přihlašovacích údajů, analýzy dat a exfiltrace.
Konkrétně šlo o použití Claude Code a nástrojů Model Context Protocol (MCP), přičemž první fungoval jako centrální nervový systém pro zpracování instrukcí lidských operátorů a rozdělení vícestupňového útoku na malé technické úkoly, které lze přenést na podagenty.
„Lidský operátor pověřil instance Claude Code, aby fungovaly ve skupinách jako autonomní orchestrátoři a agenti penetračního testování, přičemž aktér hrozby byl schopen využít AI k nezávislému provedení 80-90 % taktických operací při fyzicky nemožných rychlostech požadavků,“ dodala společnost. „Lidské odpovědnosti se soustředily na inicializaci kampaně a autorizační rozhodnutí v kritických bodech eskalace.“
Lidská účast se také vyskytla ve strategických okamžicích, jako je autorizace postupu od průzkumu k aktivnímu zneužití, schválení použití získaných přihlašovacích údajů pro laterální pohyb a konečná rozhodnutí o rozsahu a uchovávání exfiltrovaných dat.
Systém je součástí útočného rámce, který přijímá jako vstup cíl zájmu od lidského operátora a poté využívá sílu MCP k provádění průzkumu a mapování útočné plochy. V dalších fázích útoku Claude-based framework usnadňuje objevování zranitelností a validuje objevené chyby generováním přizpůsobených útočných payloadů.
Po získání souhlasu od lidských operátorů systém pokračuje v nasazení exploitu a získání opěrného bodu a zahájení série post-exploitačních aktivit zahrnujících získávání přihlašovacích údajů, laterální pohyb, sběr dat a extrakci.
V jednom případě zaměřeném na nejmenovanou technologickou společnost se uvádí, že aktér hrozby instruoval Claude, aby nezávisle dotazoval databáze a systémy a analyzoval výsledky k označení proprietárních informací a seskupení zjištění podle zpravodajské hodnoty. Navíc Anthropic uvedl, že jeho nástroj AI generoval podrobnou dokumentaci útoku ve všech fázích, což útočníkům pravděpodobně umožnilo předat trvalý přístup dalším týmům pro dlouhodobé operace po první vlně.
„Tím, že tyto úkoly prezentovali Claude jako rutinní technické požadavky prostřednictvím pečlivě vytvořených promptů a zavedených person, byl aktér hrozby schopen přimět Claude k provedení jednotlivých komponent útočných řetězců bez přístupu k širšímu škodlivému kontextu,“ uvádí zpráva.
Neexistují důkazy, že by operační infrastruktura umožňovala vývoj vlastního malwaru. Místo toho bylo zjištěno, že se rozsáhle spoléhá na veřejně dostupné síťové skenery, rámce pro zneužití databází, nástroje pro lámání hesel a sady pro binární analýzu.
Vyšetřování aktivity však také odhalilo zásadní omezení nástrojů AI: jejich tendenci halucinovat a vyrábět data během autonomních operací – vymýšlet falešné přihlašovací údaje nebo prezentovat veřejně dostupné informace jako kritická zjištění – čímž představují hlavní překážky celkové efektivnosti schématu.
Zveřejnění přichází téměř čtyři měsíce poté, co Anthropic narušil další sofistikovanou operaci, která zneužila Claude k provádění rozsáhlé krádeže a vydírání osobních dat v červenci 2025. Během posledních dvou měsíců OpenAI a Google také zveřejnily útoky provedené aktéry hrozeb využívajícími ChatGPT a Gemini.
„Tato kampaň demonstruje, že bariéry pro provádění sofistikovaných kybernetických útoků podstatně klesly,“ uvedla společnost.
„Aktéři hrozeb nyní mohou používat agentní systémy AI k práci celých týmů zkušených hackerů se správným nastavením, analyzovat cílové systémy, vytvářet exploit kód a skenovat rozsáhlé datové sady ukradených informací efektivněji než jakýkoli lidský operátor. Méně zkušené a méně vybavené skupiny nyní mohou potenciálně provádět rozsáhlé útoky této povahy.“
Zdroj: thehackernews.com
Zdroj: IT SECURITY NETWORK NEWS
