Anthropic a publié le 13 novembre 2025 un rapport qui marque un tournant historique : la découverte et la neutralisation de la première campagne de cyberespionnage menée en grande partie par une IA autonome. Cette cyberattaque, attribuée à un groupe chinois étatique baptisé GTG-1002, montre à quel point la menace Cyber a évolué en 2025.

🎥 Synthèse de l’attaque en vidéo

Une campagne de cyberespionnage inédite

Selon Anthropic, cette campagne de cyberespionnage a été réalisée à 80-90 % par l’IA. Pour cela, le groupe GTG-1002 aurait utilisé Claude Code pour mener les actions suivantes :

  • de la reconnaissance automatisée,
  • la découverte de vulnérabilités,
  • le développement d’exploits,
  • le mouvement latéral,
  • l’extraction de données,
  • et même la rédaction automatique de documentation d’intrusion.

Le tout avec très peu d’intervention humaine : Anthropic estime que seules quatre à six décisions critiques par campagne nécessitaient une validation manuelle.

Les cibles de GTG-1002 étaient constituées d’une trentaine d’entités internationales : grandes entreprises technologiques, institutions financières, sites industriels sensibles, agences gouvernementales. Et selon le rapport, il semblerait que quelques-unes de ces attaques ont été menées à leur terme avec succès.

 

Comment GTG-1002 a transformé Claude Code en un véritable agent offensif ?

Là, les attaquants n’ont pas simplement utilisé l’IA comme un assistant, mais comme un agent autonome exécutant presque intégralement la chaîne d’attaque.

Trois facteurs ont rendu cette attaque possible :

  1. Intelligence accrue des modèles
    Capacité à suivre des chaînes d’actions complexes, à coder, analyser et raisonner.
  2. Agency : fonctionnement en boucle autonome
    L’IA peut maintenant enchaîner des tâches, prendre des décisions et persister dans le temps sans supervision constante.
  3. Accès à des outils via MCP (Model Context Protocol)
    scanners réseau, outils d’analyse, navigateur automatisé, scripts d’exploitation, etc…

Ces trois éléments combinés transforment Claude Code en véritable opérateur offensif, capable de dérouler une attaque complète de bout en bout.  Les attaquants ont réussi à détourner les garde-fous de Claude en utilisant différentes techniques comme le jeu de rôle (se faire passer pour un pentester), du jailbreaking ou encore la fragmentation des tâches grâce à laquelle chaque action individuelle semble inoffensive.

 

L’attaque s’est déroulée en 5 phases selon le schéma ci-dessous 

Et il y a même eu une 6ème phase dans laquelle l’IA a intégralement pris en charge et de manière autonome toute la documentation de l’attaque (cartographie de l’architecture, identifiants compromis, scripts utilisés, données sensibles extraites ainsi que l’ensemble des méthodes et étapes de l’intrusion).

 

 Voilà on y est : en 2025, l’IA ne se contente plus d’assister un opérateur humain,

elle orchestre elle-même la majorité des opérations offensives !

 

Les limites observées et les enseignements à retenir

Point intéressant : malgré la sophistication, Claude a parfois inventé des « credentials », exagéré la sensibilité d’infos publiques, ou mal interprété certains résultats.

Bref, même en mode offensif, l’IA peut encore halluciner. Ces hallucinations montrent que l’IA n’est pas encore un agent offensif parfait, mais elles ne constituent plus une barrière suffisante à l’exploitation opérationnelle.

 

Concrètement, le rapport d’Anthropic met en lumière trois enseignements majeurs :

(1) Des attaques autrefois réservées aux États deviennent accessibles avec une IA agentique

un groupe peu compétent peut lancer une attaque sophistiquée,

un pentester junior peut devenir “élite” via l’automatisation,

l’échelle et la vitesse des attaques explosent. 

 

(2) L’IA devient un élément incontournable de la défense

Anthropic insiste sur le fait que les mêmes capacités qui permettent l’attaque permettent également la défense. Les chercheurs indiquent que leurs activités de renseignement (CTI) ont utilisé massivement Claude pour analyser les données de l’incident. Les SOC doivent impérativement intégrer l’IA pour corréler massivement, automatiser la détection et la réponse à incident. 

 

(3) Les éditeurs d’IA doivent renforcer la sécurité de leurs produits / services

De son côté, Anthropic a réagi immédiatement par le blocage de comptes, la création de nouveaux classifieurs de menaces et un travail sur la détection précoce des attaques autonomes.

 

Conclusion

Cette affaire marque un précédent dans la cyber aussi important que l’a été Stuxnet en 2010 (rappelez-vous la clé USB dans la centrale de Natanz…). Nous basculons désormais dans une nouvelle ère : celle dans laquelle les IA sont capables d’exécuter elles-mêmes des opérations offensives complètes, d’industrialiser les cyberattaques et de faire voler en éclats les barrières techniques qui protégeaient autrefois nos systèmes d’information.

 

Pour rester à la hauteur, la défense doit à son tour devenir agentique. Entreprises, administrations et infrastructures critiques doivent en prendre conscience : la prochaine génération de cybermenaces ne viendra plus des humains, mais des IA.

L’affaire GTG-1002 n’est donc pas un accident isolé, mais le premier signal d’une mutation profonde du paysage cyber. Sur SecureAI.fr, nous continuerons d’analyser ces ruptures technologiques et leurs implications pratiques pour les professionnels de la cybersécurité.

 

L’article d’Anthropic est disponible ici : https://www.anthropic.com/news/disrupting-AI-espionage