Les leaders en matière de sécurité font face à une nouvelle classe de menace autonome alors qu’Anthropic détaille la première campagne de cyberespionnage orchestrée par l’IA.
Dans un rapport publié cette semaine, l’équipe de renseignement sur les menaces de l’entreprise a décrit sa perturbation d’une opération sophistiquée menée par un groupe parrainé par l’État chinois – une évaluation faite avec une forte confiance – surnommée GTG-1002 et détectée à la mi-septembre 2025.
L’opération visait environ 30 entités, dont de grandes entreprises technologiques, des institutions financières, des entreprises de fabrication de produits chimiques et des agences gouvernementales.
Plutôt que l’IA aidant les opérateurs humains, les attaquants ont réussi à manipuler le modèle Claude Code d’Anthropic pour fonctionner comme un agent autonome pour exécuter la grande majorité des opérations tactiques de manière indépendante.
Cela marque un développement inquiétant pour les CISO, déplaçant les cyberattaques des efforts dirigés par l’homme vers un modèle où les agents IA effectuent 80 à 90 % du travail offensif, les humains agissant uniquement en tant que superviseurs de haut niveau. Anthropic estime qu’il s’agit du premier cas documenté d’une cyberattaque à grande échelle exécutée sans intervention humaine substantielle.
Agents IA : un nouveau modèle opérationnel pour les cyberattaques
Le groupe a utilisé un système d’orchestration qui a chargé des instances de Claude Code de fonctionner comme des agents autonomes de test de pénétration. Ces agents IA ont été dirigés dans le cadre de la campagne de cyberespionnage pour effectuer des opérations de reconnaissance, découvrir des vulnérabilités, développer des exploits, récolter des identifiants, se déplacer latéralement à travers les réseaux et exfiltrer des données. Cela a permis à l’IA d’effectuer une reconnaissance en une fraction du temps qu’il aurait fallu à une équipe de pirates informatiques humains.
L’implication humaine était limitée à 10 à 20 % de l’effort total, principalement axée sur le lancement de la campagne et l’autorisation à quelques points d’escalade clés. Par exemple, les opérateurs humains approuvaient la transition de la reconnaissance à l’exploitation active ou autorisaient l’étendue finale de l’exfiltration de données.
Les attaquants ont contourné les protections intégrées au modèle IA, qui sont formées pour éviter les comportements nuisibles. Ils l’ont fait en jailbreakant le modèle, en le trompant en décomposant les attaques en tâches en apparence innocentes et en adoptant une personnalité de « jeu de rôle ». Les opérateurs ont dit à Claude qu’il était un employé d’une entreprise de cybersécurité légitime et qu’il était utilisé dans des tests défensifs. Cela a permis à l’opération de se poursuivre suffisamment longtemps pour accéder à quelques cibles validées.
La sophistication technique de l’attaque ne résidait pas dans les logiciels malveillants novateurs, mais dans l’orchestration. Le rapport souligne que le cadre s’appuyait « massivement sur des outils de test de pénétration open source ». Les attaquants utilisaient des serveurs de protocole de contexte de modèle (MCP) comme interface entre l’IA et ces outils génériques, permettant à l’IA d’exécuter des commandes, d’analyser les résultats et de maintenir un état opérationnel sur plusieurs cibles et sessions. L’IA était même dirigée pour rechercher et rédiger son propre code d’exploitation pour la campagne de cyberespionnage.
Les hallucinations de l’IA deviennent une bonne chose
Bien que la campagne ait réussi à infiltrer des cibles de grande valeur, l’enquête d’Anthropic a révélé une limitation notable : l’IA a halluciné pendant les opérations offensives.
Le rapport indique que Claude « exagérait fréquemment les découvertes et fabriquait occasionnellement des données ». Cela se manifestait par l’IA affirmant avoir obtenu des identifiants qui ne fonctionnaient pas ou en identifiant des découvertes qui « se sont révélées être des informations disponibles publiquement ».
Cette tendance obligeait les opérateurs humains à valider soigneusement tous les résultats, posant des défis pour l’efficacité opérationnelle des attaquants. Selon Anthropic, cela « reste un obstacle aux cyberattaques entièrement autonomes ». Pour les leaders en matière de sécurité, cela met en lumière une faiblesse potentielle des attaques dirigées par l’IA : elles peuvent générer un grand nombre de bruits et de faux positifs qui peuvent être identifiés grâce à une surveillance robuste.
Une course aux armements IA défensive contre les nouvelles menaces de cyberespionnage
L’implication principale pour les dirigeants d’entreprise et de technologie est que les barrières à la réalisation de cyberattaques sophistiquées ont considérablement baissé. Des groupes avec moins de ressources peuvent désormais être en mesure d’exécuter des campagnes qui nécessitaient auparavant des équipes entières de pirates informatiques expérimentés.
Cette attaque démontre une capacité au-delà du « piratage d’ambiance », où les humains restaient fermement en contrôle des opérations. La campagne GTG-1002 prouve que l’IA peut être utilisée pour découvrir et exploiter de manière autonome des vulnérabilités dans des opérations en direct.
Anthropic, qui a banni les comptes et a informé les autorités au cours d’une enquête de dix jours, soutient que ce développement montre le besoin urgent d’une défense alimentée par l’IA. L’entreprise affirme que « les capacités mêmes qui permettent à Claude d’être utilisé dans ces attaques en font également un élément essentiel de la défense cybernétique ». L’équipe de renseignement sur les menaces de l’entreprise « a utilisé Claude de manière extensive pour analyser ‘les énormes quantités de données générées’ lors de cette enquête ».
Les équipes de sécurité devraient opérer sous l’hypothèse qu’un changement majeur s’est produit dans la cybersécurité. Le rapport encourage les défenseurs à « expérimenter l’application de l’IA pour la défense dans des domaines tels que l’automatisation de SOC, la détection de menaces, l’évaluation des vulnérabilités et la réponse aux incidents ».
La lutte entre les attaques pilotées par l’IA et la défense alimentée par l’IA a commencé, et une adaptation proactive pour contrer les nouvelles menaces de cyberespionnage est la seule voie viable vers l’avant.