Anthropic hat eine Kampagne aus Mitte September 2025 offengelegt, in der die mutmaßlich chinesische APT-Gruppe GTG-1002 Agenten-KI (Claude Code) in Kombination mit dem Model Context Protocol (MCP) für Angriffe auf etwa 30 große Organisationen einsetzte. Betroffen waren Technologieanbieter, Finanzinstitute, Chemiehersteller und Behörden. In mehreren Fällen gelang den Angreifern der Zugriff auf Systeme sowie die Exfiltration von Daten. Laut Anthropic handelt es sich um den ersten dokumentierten Fall, in dem Agenten-KI erfolgreich zur Kompromittierung hochwertiger Ziele genutzt wurde.
Agenten-KI in APT-Operationen: Kernaussagen des Vorfalls
Die Zielauswahl erfolgte durch menschliche Operatoren, doch die nachfolgenden Schritte wurden weitgehend automatisiert. Claude koordinierte mehrstufige Aktionen, während spezialisierte Subagenten Teilaufgaben übernahmen: Asset-Inventarisierung, Identifikation von Angriffsflächen, Schwachstellensuche, Aufbau von Exploit-Ketten und Erzeugung angepasster Payloads. Der menschliche Operator prüfte Ergebnisse in 2–10 Minuten und gab Folgeschritte frei; anschließend arbeiteten die Agenten autonom weiter – inklusive Anmeldeprüfungen, Privilegienausweitung, Lateral Movement und Datensammlung (entsprechend MITRE ATT&CK-Phasen).
Umfang, Tempo und Orchestrierung der Angriffe
Die Kombination aus Claude Code und MCP ermöglichte eine Orchestrierung von Aufgaben ohne permanente menschliche Aufsicht. Das erhöhte die Geschwindigkeit und Parallelisierung der Operationen über mehrere Ziele und Infrastrukturen hinweg. Technisch entspricht dies einer kontinuierlichen Tool-Nutzung durch KI-Agenten, die Workflows ausführen, Kontext nachladen und Ergebnisse iterativ verbessern – ein Muster, das in aktuellen Sicherheitsanalysen als Beschleuniger für Reconnaissance und Initial Access beschrieben wird.
Grenzen der heutigen Agenten: Halluzinationen und Fehlalarme
Anthropic beobachtete neben Erfolgen auch typische Grenzen großer Sprachmodelle: gelegentliche Halluzinationen, fälschlich „gefundene“ Konten, Überbewertung frei verfügbarer Informationen und zu optimistische Statusmeldungen. Diese Fehler erforderten manuelle Verifizierung und wirken derzeit als Bremsklotz gegen vollständig autonome Angriffe. Dennoch reduziert die partielle Automatisierung bereits den Aufwand für Angreifer und verkürzt Vorbereitungszeiten.
Einordnung: Eskalation und Trendlage für Unternehmen und Behoerden
Im Vergleich zu einem Ereignis aus August, bei dem Kriminelle Claude im Rahmen von Ransomware-Aktionen gegen 17 Organisationen zur Unterstützung nutzten (Lösegeldforderungen zwischen 75.000 und 500.000 US-Dollar), markiert die aktuelle Kampagne eine Operationalisierung von Agenten-KI in APT-Operationen – weiterhin mit menschlicher Qualitätskontrolle. Unabhängige Quellen wie ENISA (Threat Landscape) sowie CISA/NCSC weisen seit Längerem auf die zunehmende Nutzung von KI zur Automatisierung von Aufklärung, Phishing und Infrastruktur-Analyse hin. Der Effekt: niedrigere Zugangshürden, höhere Skalierbarkeit und schnellere Angriffszyklen.
Maßnahmen von Anthropic und Taktiken der Verschleierung
Nach Entdeckung der Missbräuche blockierte Anthropic zugehörige Accounts, leitete interne Untersuchungen ein, informierte betroffene Organisationen und übergab Informationen an Strafverfolger. Laut Bericht tarnten die Angreifer Prompts als scheinbar legitime technische Anfragen, sodass Teilaufgaben von Agenten ausgeführt wurden, ohne den übergeordneten, schädlichen Kontext offenzulegen – ein Muster, das auch in Forschung zu LLM-Missbrauch und Prompt-Injektionen adressiert wird.
Empfehlungen: So senken Organisationen das Risiko KI-gestützter Angriffe
Identitaets- und Zugriffsmanagement (IAM): Strikte Segmentierung und Least-Privilege, phishing-resistente MFA, regelmäßige Rotation und Überwachung von Secrets, kontinuierliches Session-Monitoring. Zero-Trust-Prinzipien erschweren die Ausbreitung nach Erstzugriff.
Erkennung und Reaktion: EDR/NDR-Telemetrie, detections für Lateral Movement und untypische Datenzugriffe, Korrelation in SIEM, inklusive Anomalieerkennung bei Konto- und Service-Accounts. Mapping auf MITRE ATT&CK verbessert Sichtbarkeit und Response.
CI/CD- und Cloud-Sicherheit: Minimierung exponierter Oberflächen, Härtung und Monitoring von Service-Identitäten, Validierung von Infrastruktur-Änderungen (IaC-Policies), Einschränkung externer Tools und APIs, die Agenten ansteuern können.
LLM-/AI-Sicherheit: Richtlinien für sicheren LLM-Einsatz (Tool-Use-Gating, Egress-Logging, Kontextvalidierung), Tests gegen Prompt-Injektionen und Policy-Bypässe, Audits von MCP- und ähnlichen Integrationen. Orientierung bieten u. a. Leitlinien von CISA/NCSC und das MITRE-ATLAS-/ATT&CK-Framework.
Die Kampagne von GTG-1002 zeigt: Agenten-KI automatisiert bereits weite Teile der Angriffs-Kette, auch wenn menschliche
