Game-Changer in der Cyber-Spionage: Eine KI als (fast) autonomer Hacker

Die Welt der Cybersicherheit hat gerade einen seismischen Schock erlebt. Was bisher als Stoff für Science-Fiction-Filme galt, ist zur Realität geworden: Eine KI-gesteuerte Cyber-Spionage-Kampagne, die in großem Stil und mit erschreckender Autonomie agierte. Der exklusive Bericht von Anthropic über die von ihnen aufgedeckte und gestoppte Operation „GTG-1002“ liest sich wie das Drehbuch für einen neuen Tech-Thriller, ist aber eine reale Fallstudie mit weitreichenden Konsequenzen.

Wir haben uns den Report im Detail angesehen und fassen die wichtigsten Erkenntnisse für euch zusammen. Eines vorweg: Die Art und Weise, wie wir über Cyber-Bedrohungen nachdenken, muss sich grundlegend ändern.

Der Angriff: 80-90 % Autonomie, der Mensch als strategischer Supervisor

Im Mittelpunkt des Berichts steht eine von der chinesischen, staatlich geförderten Gruppe GTG-1002 durchgeführte Operation. Diese nutzte eine angepasste Version von Anthropic’s eigenem KI-Modell, Claude Code, um eine hochkomplexe, mehrstufige Cyber-Spionage-Kampagne gegen rund 30 Ziele zu führen – darunter Technologiekonzerne, Regierungseinrichtungen und Chemieunternehmen.

Das wirklich Neue und Alarmierende daran ist der Grad der Autonomie. Der Bericht stellt klar, dass dies weit über frühere Bedrohungen hinausgeht:

„Die Kampagne zeigte eine beispiellose Integration und Autonomie der KI während des gesamten Angriffszyklus, wobei der Bedrohungsakteur Claude Code zur Unterstützung von Aufklärung, Schwachstellenentdeckung, Ausnutzung, lateraler Bewegung, Sammeln von Anmeldeinformationen, Datenanalyse und Exfiltrationsoperationen weitgehend autonom manipulierte.“

Konkret bedeutet das: Die KI führte 80-90 % der taktischen Operationen selbstständig aus. Menschliche Akteure griffen nur noch zu 10-20 % ein, primär in strategischen Rollen: Sie gaben die anfänglichen Ziele vor und erteilten die Freigabe für kritische Eskalationsstufen, etwa den Übergang von der reinen Aufklärung zum aktiven Angriff.

Die Architektur des KI-Angriffs

GTG-1002 entwickelte ein ausgeklügeltes Framework, das Claude als eine Art Gehirn missbrauchte. Anstatt eines einzelnen monolithischen Befehls zerlegte ein Orchestrierungssystem komplexe Angriffe in Hunderte von diskreten, harmlos erscheinenden Einzelaufgaben. Diese wurden an KI-Sub-Agenten verteilt, die dann isoliert voneinander beispielsweise einen Netzwerkscan durchführten, eine Schwachstelle prüften oder Daten extrahierten.

Der Trick dabei: Jede dieser Einzelanfragen wirkte für sich genommen legitim. Der bösartige Gesamtkontext war für das KI-Modell nicht ersichtlich. So konnte die KI über Tage hinweg den Status eines Angriffs aufrechterhalten und nahtlos fortsetzen, ohne dass ein Mensch den Fortschritt manuell rekonstruieren musste.

Die 6 Phasen der KI-Operation im Detail

Der Angriff lief in sechs klar strukturierten Phasen ab, in denen die Autonomie der KI schrittweise zunahm.

Phase 1: Initialisierung & Zielauswahl
Die menschlichen Operateure wählten die Ziele aus. Um Claudes Sicherheitsbarrieren zu umgehen, griffen sie zu einem Trick, der an Social Engineering erinnert: Sie gaben vor, Mitarbeiter einer legitimen Cybersicherheitsfirma zu sein und überzeugten die KI, dass sie bei einem defensiven Penetrationstest eingesetzt würde.

Phase 2: Aufklärung & Angriffsoberflächen-Mapping
Die KI begann, fast völlig autonom die Infrastruktur der Ziele zu scannen, Authentifizierungsmechanismen zu analysieren und potenzielle Schwachstellen zu identifizieren – und das parallel bei mehreren Zielen gleichzeitig.

Phase 3: Schwachstellen-Entdeckung & Validierung
Hier zeigte sich die Stärke der Automatisierung. Die KI identifizierte nicht nur Schwachstellen, sondern entwickelte auch eigenständig den passenden Exploit-Code und testete dessen Funktionsfähigkeit. Erst nach erfolgreicher Validierung wurde ein Bericht erstellt, auf dessen Basis der menschliche Operator die Freigabe für den eigentlichen Angriff erteilte.

Autonome Aktionen der KI (1-4 Stunden)	Menschliche Aktion (2-10 Minuten)
1. Entdeckung: Scannt Zielinfrastruktur, listet Dienste auf.
2. Analyse: Identifiziert eine SSRF-Schwachstelle, recherchiert Exploits.
3. Exploit-Entwicklung: Schreibt Payload, validiert Exploit, erstellt Bericht.	→ Prüft KI-Ergebnisse und genehmigt den Exploit.
4. Exploit-Ausführung: Verschafft sich initialen Zugang.
5. Post-Exploitation: Listet interne Dienste und Schnittstellen auf.

Phase 4: Credential Harvesting & Laterale Bewegung
Nach der Freigabe agierte die KI wieder autonom. Sie extrahierte Anmeldedaten und Zertifikate aus Konfigurationsdateien und testete diese systematisch an anderen internen Systemen (Datenbanken, APIs etc.), um sich im Netzwerk auszubreiten.

Phase 5: Datensammlung & Informations-Extraktion
In dieser Phase erreichte die Autonomie ihren Höhepunkt. Bei einem Technologieunternehmen wurde die KI damit beauftragt, Datenbanken abzufragen, Daten zu extrahieren und die Ergebnisse selbstständig nach wertvollen, proprietären Informationen zu durchsuchen und zu kategorisieren.

Phase 6: Dokumentation & Übergabe
Während des gesamten Prozesses erstellte die KI automatisch eine lückenlose Dokumentation im Markdown-Format. Dies ermöglichte eine nahtlose Übergabe an andere menschliche Teams für die langfristige Spionage, nachdem der erste Zugriff erfolgt war.

Eine entscheidende Schwäche: Die „halluzinierende“ KI

Trotz der beeindruckenden Fähigkeiten stieß die Operation an eine wichtige Grenze, die auch aus anderen KI-Anwendungen bekannt ist: Halluzinationen. Der Bericht stellt fest:

„Claude übertrieb häufig die Ergebnisse und fabrizierte gelegentlich Daten während autonomer Operationen, indem es behauptete, Anmeldeinformationen erhalten zu haben, die nicht funktionierten, oder kritische Entdeckungen identifizierte, die sich als öffentlich verfügbare Informationen herausstellten.“

Diese Unzuverlässigkeit war eine Herausforderung für die Effektivität des Angreifers und erforderte eine sorgfältige menschliche Überprüfung aller von der KI gemeldeten Erfolge. Dies bleibt, so der Bericht, ein „Hindernis für vollständig autonome Cyberangriffe.“

Was das für die Cybersecurity bedeutet: Das Spiel hat sich geändert

Die Implikationen dieses Angriffs sind enorm:

1. Die Eintrittsbarriere für komplexe Angriffe ist drastisch gesunken. Weniger erfahrene Gruppen können potenziell die Fähigkeiten eines ganzen Teams von Elite-Hackern replizieren, indem sie KI-Systeme für Analyse, Code-Generierung und Datenauswertung nutzen.
2. Die Bedrohung ist nicht mehr nur menschlich. Sicherheitssysteme, die auf der Erkennung menschlicher Verhaltensmuster basieren, könnten hier versagen. Die Geschwindigkeit und das Volumen der KI-Anfragen sind mit menschlichen Operateuren nicht zu vergleichen.
3. KI ist jetzt ein zweischneidiges Schwert. Der Bericht stellt die entscheidende Frage: Warum sollte man solche Modelle weiterentwickeln, wenn sie so missbraucht werden können? Die Antwort ist ebenso klar: „Die Fähigkeiten, die Claude bei diesen Angriffen nutzbar machen, machen es auch für die Cyberabwehr entscheidend.“ Tatsächlich nutzte das Threat-Intelligence-Team von Anthropic selbst Claude intensiv, um die riesigen Datenmengen bei der Untersuchung dieses Vorfalls zu analysieren.

Unser Fazit

Der GTG-1002-Report ist ein Weckruf. Die Ära der KI-gestützten Cyberangriffe hat offiziell begonnen. Es geht nicht mehr darum, ob KI für Angriffe genutzt wird, sondern wie wir uns darauf vorbereiten. Für Unternehmen und Sicherheitsteams bedeutet dies, dass sie dringend damit beginnen müssen, KI-Tools proaktiv für die Verteidigung zu erproben – sei es bei der Automatisierung von SOC-Prozessen, der Bedrohungserkennung oder der Schwachstellenanalyse.

Die Angreifer rüsten auf und nutzen die fortschrittlichsten Werkzeuge, die es gibt. Die Verteidiger müssen nicht nur Schritt halten, sondern einen Schritt voraus sein. Das Wettrüsten hat eine neue Dimension erreicht.