Los actores de amenazas patrocinados por el estado chino utilizaron tecnología de inteligencia artificial (IA) desarrollada por Anthropic para orquestar ciberataques automatizados como parte de una “sofisticada campaña de espionaje” a mediados de septiembre de 2025.
“Los atacantes explotaron las capacidades de 'agente' de la IA en un grado sin precedentes: utilizaron la IA no sólo como asesora, sino también para llevar a cabo los ciberataques ellos mismos”, afirmó el recién llegado a la IA.
Se estima que la actividad manipuló Claude Code, la herramienta de codificación de inteligencia artificial de Anthropic, en un intento de penetrar alrededor de 30 objetivos globales, incluidas importantes empresas de tecnología, instituciones financieras, fabricantes de productos químicos y agencias gubernamentales. Algunas de estas intervenciones tuvieron éxito. Desde entonces, Anthropic suspendió las cuentas relevantes e implementó defensas para detectar tales ataques.
La campaña GTG-1002 marca la primera vez que un actor de amenazas utiliza IA para llevar a cabo un “ciberataque a gran escala” sin intervención humana importante y recopilar inteligencia atacando objetivos de alto valor, lo que indica una evolución continua en el uso adversario de la tecnología.
Al describir la operación como bien equipada y coordinada profesionalmente, Anthropic dijo que el actor de amenazas transformó a Claude en un “agente de ciberataque autónomo” que respalda varias fases del ciclo de vida del ataque, incluido el reconocimiento, la detección de vulnerabilidades, la explotación, el movimiento lateral, la recopilación de credenciales, el análisis de datos y la exfiltración.
Específicamente, implicó el uso de herramientas Claude Code y Model Context Protocol (MCP), donde el primero actúa como un sistema nervioso central para procesar las instrucciones de los operadores humanos y dividir el ataque de múltiples etapas en pequeñas tareas técnicas que pueden descargarse a subagentes.
“El operador humano ha asignado instancias de Claude Code para que actúen en grupos como orquestadores y agentes autónomos de pruebas de penetración, y el actor de amenazas puede aprovechar la IA para ejecutar entre el 80 y el 90% de las operaciones tácticas de forma independiente y a tasas de solicitud físicamente imposibles”, agregó la compañía. “La responsabilidad humana se centró en las decisiones de inicio y autorización de campañas en puntos críticos de escalada”.
La participación humana también se produjo en puntos estratégicos, como autorizar la transición del reconocimiento a la explotación activa, autorizar el uso de credenciales recopiladas para el movimiento lateral y tomar decisiones finales sobre el alcance y la retención de la exfiltración de datos.
El sistema es parte de un marco de ataque que acepta como entrada un objetivo de un operador humano y luego aprovecha el poder de MCP para realizar reconocimiento y mapeo de la superficie de ataque. En las siguientes fases del ataque, el marco basado en Claude facilita la detección de vulnerabilidades y valida las vulnerabilidades descubiertas generando cargas útiles de ataque personalizadas.
Una vez que el sistema obtiene el permiso de los operadores humanos, implementa el exploit, se afianza e inicia una serie de actividades posteriores al exploit, incluida la recopilación de credenciales, el movimiento lateral, la recopilación y extracción de datos.
En un caso que involucraba a una empresa de tecnología no identificada, el actor de amenazas supuestamente ordenó a Claude que consultara de forma independiente bases de datos y sistemas y analizara los resultados para marcar información patentada y agrupar los hallazgos por valor de inteligencia. Además, Anthropic dijo que su herramienta de inteligencia artificial creó documentación detallada del ataque en todas las etapas, lo que significa que los actores de amenazas probablemente podrían transmitir acceso persistente a equipos adicionales para operaciones a largo plazo después de la primera ola.
“Al presentar estas tareas a Claude como solicitudes técnicas de rutina a través de indicaciones cuidadosamente diseñadas y personas establecidas, el actor de amenazas pudo engañar a Claude para que ejecutara componentes individuales de cadenas de ataque sin tener acceso al contexto malicioso más amplio”, dice el informe.
No hay evidencia de que la infraestructura operativa permitiera el desarrollo de malware personalizado. Más bien, se descubrió que dependía en gran medida de escáneres de red disponibles públicamente, marcos de explotación de bases de datos, descifradores de contraseñas y conjuntos de análisis binarios.
Sin embargo, el estudio de esta actividad también ha revelado una limitación clave de las herramientas de IA: su tendencia a alucinar y fabricar datos durante operaciones autónomas (inventando credenciales falsas o presentando información disponible públicamente como descubrimientos críticos), reduciendo así significativamente la eficacia general del sistema.
La revelación se produce casi cuatro meses después de que Anthropic interrumpiera otra operación sofisticada en julio de 2025 que utilizaba a Claude como arma para el robo y la extorsión a gran escala de información personal. En los últimos dos meses, OpenAI y Google también han descubierto ataques de actores de amenazas que explotan ChatGPT y Gemini, respectivamente.
“Esta campaña muestra que las barreras para llevar a cabo ciberataques sofisticados se han reducido significativamente”, afirmó la empresa.
“Los actores de amenazas ahora pueden utilizar sistemas de agentes de inteligencia artificial para hacerse cargo del trabajo de equipos completos de piratas informáticos cualificados con la configuración adecuada, analizando sistemas de destino, creando códigos de explotación y escaneando conjuntos de datos masivos de información robada de forma más eficiente que cualquier operador humano. Grupos con menos experiencia y menos recursos ahora pueden llevar a cabo potencialmente ataques a gran escala de esta naturaleza”.
About The Author
