Los actores de amenazas patrocinados por el estado de China utilizaron tecnología de inteligencia artificial (IA) desarrollada por Anthropic para orquestar ciberataques automatizados como parte de una «campaña de espionaje altamente sofisticada» a mediados de septiembre de 2025.
«Los atacantes utilizaron las capacidades ‘agentivas’ de la IA en un grado sin precedentes: utilizando la IA no sólo como asesor, sino para ejecutar los ataques cibernéticos ellos mismos», dijo el advenedizo de la IA.
Se estima que la actividad manipuló Claude Code, la herramienta de codificación de inteligencia artificial de Anthropic, para intentar penetrar en unos 30 objetivos globales que abarcan grandes empresas de tecnología, instituciones financieras, empresas de fabricación de productos químicos y agencias gubernamentales. Un subconjunto de estas intrusiones tuvo éxito. Desde entonces, Anthropic ha prohibido las cuentas relevantes y ha aplicado mecanismos defensivos para detectar tales ataques.
La campaña, GTG-1002, marca la primera vez que un actor de amenazas aprovecha la IA para llevar a cabo un «ciberataque a gran escala» sin intervención humana importante y para recopilar inteligencia atacando objetivos de alto valor, lo que indica una evolución continua en el uso adversario de la tecnología.
Al describir la operación como bien dotada de recursos y coordinada profesionalmente, Anthropic dijo que el actor de amenazas convirtió a Claude en un «agente de ciberataque autónomo» para respaldar varias etapas del ciclo de vida del ataque, incluido el reconocimiento, el descubrimiento de vulnerabilidades, la explotación, el movimiento lateral, la recolección de credenciales, el análisis de datos y la exfiltración.
Específicamente, implicó el uso de herramientas Claude Code y Model Context Protocol (MCP), donde el primero actúa como el sistema nervioso central para procesar las instrucciones de los operadores humanos y dividir el ataque de múltiples etapas en pequeñas tareas técnicas que pueden descargarse a subagentes.
«El operador humano asignó instancias de Claude Code para operar en grupos como orquestadores y agentes autónomos de pruebas de penetración, y el actor de amenazas pudo aprovechar la IA para ejecutar el 80-90% de las operaciones tácticas de forma independiente a tasas de solicitud físicamente imposibles», agregó la compañía. «Las responsabilidades humanas se centraron en las decisiones de inicialización y autorización de campañas en puntos críticos de escalada».
La participación humana también se produjo en coyunturas estratégicas, como autorizar la progresión del reconocimiento a la explotación activa, aprobar el uso de credenciales recopiladas para el movimiento lateral y tomar decisiones finales sobre el alcance y la retención de la exfiltración de datos.
El sistema es parte de un marco de ataque que acepta como entrada un objetivo de interés de un operador humano y luego aprovecha el poder de MCP para realizar reconocimiento y mapeo de la superficie de ataque. En las siguientes fases del ataque, el marco basado en Claude facilita el descubrimiento de vulnerabilidades y valida las fallas descubiertas generando cargas útiles de ataque personalizadas.
Tras obtener la aprobación de los operadores humanos, el sistema procede a implementar el exploit y obtener un punto de apoyo, e iniciar una serie de actividades posteriores a la explotación que implican recolección de credenciales, movimiento lateral, recopilación y extracción de datos.
En un caso dirigido a una empresa de tecnología no identificada, se dice que el actor de amenazas le ordenó a Claude que consultara de forma independiente bases de datos y sistemas y analizara los resultados para marcar información patentada y agrupar los hallazgos por valor de inteligencia. Es más, Anthropic dijo que su herramienta de inteligencia artificial generó documentación detallada del ataque en todas las fases, lo que permitió a los actores de la amenaza probablemente entregar acceso persistente a equipos adicionales para operaciones a largo plazo después de la ola inicial.
«Al presentar estas tareas a Claude como solicitudes técnicas de rutina a través de indicaciones cuidadosamente diseñadas y personas establecidas, el actor de amenazas pudo inducir a Claude a ejecutar componentes individuales de cadenas de ataque sin acceso al contexto malicioso más amplio», según el informe.
No hay evidencia de que la infraestructura operativa permitiera el desarrollo de malware personalizado. Más bien, se ha descubierto que depende en gran medida de escáneres de red disponibles públicamente, marcos de explotación de bases de datos, descifradores de contraseñas y conjuntos de análisis binarios.
Sin embargo, la investigación sobre la actividad también ha descubierto una limitación crucial de las herramientas de IA: su tendencia a alucinar y fabricar datos durante operaciones autónomas (elaborando credenciales falsas o presentando información disponible públicamente como descubrimientos críticos), lo que plantea importantes obstáculos a la eficacia general del plan.
La divulgación se produce casi cuatro meses después de que Anthropic interrumpiera otra operación sofisticada que utilizó a Claude como arma para llevar a cabo robo y extorsión a gran escala de datos personales en julio de 2025. Durante los últimos dos meses, OpenAI y Google también han revelado ataques organizados por actores de amenazas que aprovechan ChatGPT y Gemini, respectivamente.
«Esta campaña demuestra que las barreras para realizar ciberataques sofisticados han disminuido sustancialmente», dijo la compañía.
«Los actores de amenazas ahora pueden usar sistemas de IA agentes para hacer el trabajo de equipos enteros de hackers experimentados con la configuración adecuada, analizando sistemas objetivo, produciendo códigos de explotación y escaneando vastos conjuntos de datos de información robada de manera más eficiente que cualquier operador humano. Grupos con menos experiencia y menos recursos ahora pueden realizar potencialmente ataques a gran escala de esta naturaleza».