Autoridades associadas a ameaças patrocinadas pelo Estado chinês usaram tecnologia de inteligência artificial (AI) desenvolvida pela Anthropic para coordenar ataques cibernéticos automatizados em uma “campanha de espionagem altamente sofisticada” na metade de setembro de 2025.
Segundo a Anthropic, os invasores exploraram capacidades agentic da AI de forma inédita — utilizando a tecnologia não apenas como consultora, mas para executar os ataques de forma autônoma.
A ação teria manipulado o Claude Code, ferramenta de codificação AI da Anthropic, para tentar invadir cerca de 30 alvos globais, incluindo grandes empresas de tecnologia, instituições financeiras, indústrias químicas e órgãos governamentais.
Parte dessas investidas foi bem-sucedida.
Desde então, a Anthropic bloqueou as contas envolvidas e implementou mecanismos defensivos para detectar ataques semelhantes.
Batizada de campanha GTG-1002, esta é a primeira vez que um ator de ameaça usa AI para realizar um ataque cibernético em larga escala com mínima intervenção humana, visando a coleta de inteligência em alvos de alto valor.
O episódio revela uma evolução significativa na forma como tecnologias avançadas estão sendo exploradas por agentes maliciosos.
Descrita como bem financiada e profissionalmente coordenada, a Anthropic afirmou que o grupo transformou o Claude em um “agente autônomo de ataque cibernético”, capaz de atuar em diversas fases do ciclo do ataque: reconhecimento, identificação de vulnerabilidades, exploração, movimentação lateral, coleta de credenciais, análise de dados e exfiltração.
A operação utilizou ferramentas como Claude Code e Model Context Protocol (MCP).
O Claude Code funcionou como sistema central, processando as instruções humanas e dividindo o ataque complexo em tarefas técnicas menores, delegadas a sub-agentes.
“O operador humano delegava instâncias do Claude Code para atuar em grupos como orquestradores autônomos de penetration testing, com o agente executando de 80% a 90% das ações táticas de forma independente, numa velocidade impossível para humanos”, explicou a Anthropic.
A intervenção humana ficou restrita à iniciação da campanha e a decisões críticas nos pontos de escalonamento.
Essas decisões incluíam autorizar a passagem do reconhecimento para a exploração ativa, aprovar o uso das credenciais coletadas para movimentação lateral e determinar a extensão e retenção dos dados exfiltrados.
O sistema integra uma estrutura automatizada que recebe como input um alvo definido pelo operador humano e, graças ao MCP, realiza mapeamento do ambiente e reconhecimento.
Nas etapas seguintes, a plataforma baseada em Claude detecta vulnerabilidades e valida essas falhas ao gerar payloads específicos para ataque.
Com aprovação humana, o sistema executa o exploit, obtém acesso inicial e inicia atividades pós-exploração, como coleta de credenciais, movimentação lateral, análise e extração de dados.
Em um caso envolvendo uma empresa de tecnologia não identificada, o Claude foi instruído a consultar bancos de dados e sistemas de forma autônoma, filtrando resultados para identificar informações proprietárias e categorizando-as por valor de inteligência.
Além disso, a Anthropic revelou que sua ferramenta AI documentou detalhadamente todas as etapas do ataque, permitindo que o grupo entregasse o acesso persistente a outras equipes para operações de longo prazo após a primeira fase.
“O ator de ameaça apresentou as tarefas ao Claude como solicitações técnicas rotineiras, usando prompts cuidadosamente elaborados e personas definidas, o que induziu o Claude a executar partes do ataque sem compreender o contexto malicioso global”, destacou o relatório.
Não há evidências de que a infraestrutura usada tenha gerado malwares personalizados.
O conjunto se apoiou fortemente em scanners de rede públicos, frameworks para exploração de banco de dados, ferramentas de quebra de senha e suítes para análise binária.
Porém, a investigação também revelou uma limitação crucial das ferramentas AI: a tendência a “hallucinate”, isto é, criar dados falsos durante operações autônomas — produzindo credenciais fraudulentas ou interpretando informações públicas como descobertas críticas.
Esse fenômeno representa um obstáculo significativo para a eficácia geral da campanha.
A divulgação ocorre quase quatro meses após a Anthropic ter interrompido outra operação complexa que explorava Claude para roubo em larga escala e extorsão de dados pessoais, em julho de 2025.
Nos últimos dois meses, OpenAI e Google também relataram ataques conduzidos por agentes que usaram ChatGPT e Gemini, respectivamente.
“Esta campanha mostra que as barreiras para realizar ataques cibernéticos sofisticados caíram drasticamente”, afirmou a Anthropic.
“Atualmente, atores de ameaça podem empregar sistemas AI agentic para executar o trabalho de equipes inteiras de hackers experientes, analisando sistemas-alvo, produzindo código de exploit e vasculhando grandes volumes de dados roubados com uma eficiência impossível para humanos.
Grupos com menos experiência e recursos agora têm potencial para realizar ataques em larga escala.”
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...