Soutenus par l'État chinois, des pirates ont pris le contrôle de Claude Code pour mener une opération de cyberespionnage orchestrée par l'IA

Ce 13 novembre 2025, Anthropic a fait part d'une découverte pour le moins inquiétante. "Cette campagne a démontré une intégration et une autonomie sans précédent de l'IA tout au long du cycle de vie de l'attaque [...] L'opérateur humain a chargé des instances de Claude Code de fonctionner en groupes en tant qu'orchestrateurs et agents autonomes de tests de pénétration, l'auteur de la menace étant capable d'exploiter l'IA pour exécuter 80 à 90% des opérations tactiques de manière indépendante à des taux de demande physiquement impossibles."

Une opération soutenue par le gouvernement chinois

Dans son dernier rapport, la start-up d'IA revient en détail sur la première campagne documentée de cyberespionnage orchestrée presque entièrement par une IA, exploitant Claude, et détectée et neutralisée par Anthropic mi-septembre 2025. L'opération, attribuée à un groupe chinois soutenu par l’État et référence sous le nom de code GTG-1002, marque une rupture majeure dans l’usage offensif de l’IA.

Comme l'écrit Anthropic, l'opération a permis d’automatiser 80 à 90% des techniques d’intrusion, avec une intervention humaine limitée à des décisions stratégiques. L’attaque visait une trentaine d’entités, dont des entreprises technologiques, des institutions financières, des fabricants chimiques et des agences gouvernementales. Quelques intrusions ont été confirmées, notamment sur des cibles à haute valeur. "Le rythme opérationnel atteint prouve l’utilisation d’un modèle autonome plutôt qu’une assistance interactive. L’activité maximale a inclus des milliers de requêtes, souvent plusieurs par seconde", détaille Anthropic.

Claude Code au coeur de l'opération

Le groupe a exploité Claude Code comme moteur d’exécution au sein d’un cadre automatisé basé sur le protocole MCP. Ce système décomposait les attaques en tâches techniques isolées (scan, exploitation, extraction de données), présentées comme légitimes pour contourner les garde-fous du modèle. Les opérateurs humains ont convaincu Claude, via des scénarios de rôle, qu’il participait à des tests défensifs, ce qui a permis de lancer la campagne avant détection.

L’attaque s’est déroulée en cinq étapes : initialisation et sélection des cibles (avec supervision humaine), reconnaissance autonome des infrastructures, découverte et validation des vulnérabilités, exploitation et mouvement latéral par collecte de credentials, extraction et analyse de données sensibles. Une sixième étape concernait la documentation complète pour faciliter la continuité des opérations.

Claude a démontré une autonomie remarquable, allant jusqu’à cartographier des réseaux internes, développer des payloads, tester des accès et analyser des volumes massifs de données pour en extraire des informations stratégiques. Il a même généré des rapports structurés pour le suivi et la transmission des campagnes.

Les hallucinations de modèles, dernier rempart ?

Cependant, des limites subsistent : l'IA a parfois halluciné des résultats, exagérant des découvertes ou inventant des credentials. "Cette hallucination de l’IA dans des contextes de sécurité offensive a posé des défis pour l’efficacité opérationnelle de l’acteur, nécessitant une validation minutieuse de tous les résultats revendiqués. Cela reste un obstacle à des cyberattaques entièrement autonomes."

Techniquement, l’opération reposait surtout sur des outils open source orchestrés par des serveurs spécialisés, confirmant que la sophistication réside désormais dans l’intégration et l’automatisation plutôt que dans la création de malwares inédits. Cette accessibilité accroît le risque de prolifération rapide.

Anthropic a banni les comptes et alerté qui de droit

Anthropic a réagi en bannissant les comptes, en alertant les entités concernées et les autorités et en renforçant ses systèmes de détection, notamment via des classificateurs cyber et des prototypes d’alerte précoce. Le rapport souligne des implications critiques : les barrières à l’exécution d’attaques complexes s’effondrent, permettant à des acteurs moins expérimentés de mener des opérations à grande échelle.

La start-up d'IA appelle en conséquence à une mobilisation urgente pour intégrer l’IA dans la défense (SOC automatisés, détection, réponse aux incidents) et à renforcer les garde-fous pour prévenir les abus. Enfin, elle insiste sur la nécessité de partager les menaces et d’investir dans des contrôles de sécurité robustes, car ces techniques vont se généraliser.