Les responsables de la sécurité sont confrontés à une nouvelle classe de menaces autonomes alors qu’Anthropic détaille la première campagne de cyberespionnage orchestrée par l’IA.
Dans un rapport publié cette semaine, l’équipe Threat Intelligence de la société a décrit l’interruption d’une opération sophistiquée menée par un groupe parrainé par l’État chinois – une évaluation faite avec un haut niveau de confiance – baptisée GTG-1002 et détectée à la mi-septembre 2025.
L’opération ciblait environ 30 entités, dont de grandes entreprises technologiques, des institutions financières, des entreprises de fabrication de produits chimiques et des agences gouvernementales.
Plutôt que l’IA aidant les opérateurs humains, les attaquants ont réussi à manipuler le modèle Claude Code d’Anthropic pour fonctionner comme un agent autonome permettant d’exécuter la grande majorité des opérations tactiques de manière indépendante.
Il s’agit d’une évolution inquiétante pour les RSSI, qui font passer les cyberattaques d’efforts dirigés par des humains à un modèle dans lequel les agents d’IA effectuent 80 à 90 % du travail offensif, les humains agissant uniquement en tant que superviseurs de haut niveau. Anthropic estime qu’il s’agit du premier cas documenté de cyberattaque à grande échelle exécutée sans intervention humaine substantielle.
Agents IA : un nouveau modèle opérationnel pour les cyberattaques
Le groupe a utilisé un système d’orchestration qui chargeait les instances de Claude Code de fonctionner comme des agents de test d’intrusion autonomes. Ces agents d’IA ont été chargés, dans le cadre de la campagne d’espionnage, d’effectuer des reconnaissances, de découvrir des vulnérabilités, de développer des exploits, de récolter des informations d’identification, de se déplacer latéralement à travers les réseaux et d’exfiltrer des données. Cela a permis à l’IA d’effectuer une reconnaissance en une fraction du temps qu’il aurait fallu à une équipe de pirates informatiques humains.
L’implication humaine était limitée à 10 à 20 % de l’effort total, principalement axée sur le lancement de la campagne et l’octroi d’autorisations à quelques points d’escalade clés. Par exemple, des opérateurs humains approuveraient le passage de la reconnaissance à l’exploitation active ou autoriseraient la portée finale de l’exfiltration des données.
Les attaquants ont contourné les protections intégrées du modèle d’IA, qui sont formées pour éviter les comportements nuisibles. Ils y sont parvenus en jailbreakant le modèle, en le trompant en décomposant les attaques en tâches apparemment innocentes et en adoptant un personnage de « jeu de rôle ». Les opérateurs ont déclaré à Claude qu’il s’agissait d’un employé d’une entreprise de cybersécurité légitime et qu’il était utilisé pour des tests défensifs. Cela a permis à l’opération de se poursuivre suffisamment longtemps pour avoir accès à une poignée de cibles validées.
La sophistication technique de l’attaque ne réside pas dans de nouveaux logiciels malveillants, mais dans son orchestration. Le rapport note que le cadre s’appuie « en grande partie sur des outils de test d’intrusion open source ». Les attaquants ont utilisé des serveurs MCP (Model Context Protocol) comme interface entre l’IA et ces outils de base, permettant à l’IA d’exécuter des commandes, d’analyser les résultats et de maintenir un état opérationnel sur plusieurs cibles et sessions. L’IA a même été chargée de rechercher et d’écrire son propre code d’exploitation pour la campagne d’espionnage.
Les hallucinations de l’IA deviennent une bonne chose
Même si la campagne a réussi à atteindre des cibles de grande valeur, l’enquête d’Anthropic a révélé une limite notable : l’IA a halluciné pendant les opérations offensives.
Le rapport indique que Claude « a souvent exagéré les résultats et parfois fabriqué des données ». Cela s’est manifesté par le fait que l’IA prétendait avoir obtenu des informations d’identification qui n’ont pas fonctionné ou identifiant des découvertes qui « se sont révélées être des informations accessibles au public ».
Cette tendance obligeait les opérateurs humains à valider soigneusement tous les résultats, ce qui présentait des défis pour l’efficacité opérationnelle des attaquants. Selon Anthropic, cela « reste un obstacle à des cyberattaques totalement autonomes ». Pour les responsables de la sécurité, cela met en évidence une faiblesse potentielle des attaques basées sur l’IA : elles peuvent générer un volume élevé de bruit et de faux positifs qui peuvent être identifiés grâce à une surveillance robuste.
Une course aux armements défensive en matière d’IA contre les nouvelles menaces de cyberespionnage
La principale conséquence pour les dirigeants d’entreprise et technologiques est que les obstacles à la réalisation de cyberattaques sophistiquées ont considérablement diminué. Les groupes disposant de moins de ressources peuvent désormais être en mesure d’exécuter des campagnes qui nécessitaient auparavant des équipes entières de pirates informatiques expérimentés.
Cette attaque démontre une capacité au-delà du « vibe hacking », où les humains restaient fermement aux commandes des opérations. La campagne GTG-1002 prouve que l’IA peut être utilisée pour découvrir et exploiter de manière autonome les vulnérabilités des opérations en direct.
Anthropic, qui a interdit les comptes et averti les autorités au cours d’une enquête de dix jours, affirme que cette évolution montre le besoin urgent d’une défense basée sur l’IA. L’entreprise précise que « les capacités mêmes qui permettent à Claude d’être utilisé dans ces attaques le rendent également essentiel pour la cyberdéfense ». L’équipe Threat Intelligence de l’entreprise « a largement utilisé Claude pour analyser « les énormes quantités de données générées » au cours de cette enquête.
Les équipes de sécurité doivent partir du principe qu’un changement majeur s’est produit en matière de cybersécurité. Le rapport exhorte les défenseurs à « expérimenter l’application de l’IA pour la défense dans des domaines tels que l’automatisation des SOC, la détection des menaces, l’évaluation des vulnérabilités et la réponse aux incidents ».
La compétition entre les attaques basées sur l’IA et la défense basée sur l’IA a commencé, et une adaptation proactive pour contrer les nouvelles menaces d’espionnage est la seule voie viable.
