De door de Chinese staat gesteunde groep GTG-1002 gebruikte Claude Code om 80–90% van de tactische operaties autonoom uit te voeren tegen ongeveer 30 grote organisaties: waaronder grote technologiebedrijven, overheidsinstanties en financiële organisaties.
De aanvalsstroom is handig om te begrijpen van wat er is gebeurd. Dit viel het meest op:
- Autonome verkenning: Claude bracht zelfstandig interne services en de netwerktopologie in kaart over meerdere IP-reeksen, en identificeerde waardevolle systemen, waaronder databases en workflow-orchestratieplatforms – allemaal zonder menselijke begeleiding.
- Onafhankelijke exploitatie: Genereerde aangepaste payloads voor SSRF-kwetsbaarheden en valideerde deze autonoom via callback-responsen.
- Wachtwoordinwinning en laterale beweging: Haalde wachtwoord-hashes op uit databasetabellen, testte systematisch inloggegevens op interne API’s en containerregistries, en creëerde persistente backdoor-accounts.
- Data-exfiltratie: Verwerkte grote hoeveelheden gestolen informatie om zelfstandig proprietaire data te identificeren en te classificeren op basis van inlichtingenwaarde.
Mensen kwamen slechts bij drie beslismomenten in actie: de initiële doelselectie, het goedkeuren van exploitatie na de verkenningsfase, en de uiteindelijke autorisatie voor exfiltratie.
Er zaten een paar haperingen in het proces: Claude hallucineerde inloggegevens die niet werkten en beweerde kritieke data te vinden die eigenlijk openbaar beschikbaar was.
