Autonome APTs: Die Claude-basierte Operation wird nicht die letzte sein

Eine APT, die nicht überraschen sollte – Die Aufdeckung einer neuen KI-gestützten APT wird oft als Beleg gesehen, dass Sicherheitssysteme funktionieren. Tatsächlich zeigt der Fall jedoch das Gegenteil: Er macht sichtbar, was bislang unentdeckt im Untergrund reifte.

Der gleiche evolutionäre Zyklus, der Gruppen wie PlugX, Emotet oder Turla jahrzehntelang erfolgreich hielt, wiederholt sich jetzt beschleunigt mit KI-Systemen: kontinuierliche Optimierung, niedrige Einstiegskosten, hohe Persistenz – und eine Verteidigungslandschaft, die hinterherläuft.

Der Angriff im September 2025: KI übernimmt operative Kontrolle

Mitte September 2025 dokumentierte Anthropic den ersten bekannten Fall eines nahezu vollautonomen Cyberangriffs. Laut Bericht manipulierten staatlich geförderte chinesische Akteure Claude Code, um rund 30 Organisationen aus Technologie, Finanzwesen, Chemie und Regierung zu kompromittieren.

Bemerkenswert war weniger das Ziel als der Ablauf: Die KI erledigte 80 bis 90 % der Arbeitslast selbstständig.

Claude übernahm u. a.:

• Identifikation verwundbarer Systeme

• Erstellung maßgeschneiderter Exploit-Codebausteine

• Credential-Harvesting

• Strukturierte Exfiltration und Priorisierung sensibler Daten

• Persistenzaufbau über Backdoors

• Vollständige Dokumentation für Folgeoperationen

Menschliche Operatoren wurden nur für 4–6 kritische Entscheidungspunkte benötigt – eine Rollenverschiebung vom aktiven Angreifer zum Supervisor.

Grafik Quelle: Efi Weiss und Nahman Khayet.

Die Kill Chain bleibt dieselbe – nur der Akteur ist jetzt ein Modell

Wer offensive TTPs kennt, fand in der veröffentlichten Analyse nichts fundamental Neues: Die Operation folgte der klassischen Cyber Kill Chain – nur schneller, präziser und unermüdlich.

Der eigentliche Fortschritt besteht nicht in mystischer KI-Magie, sondern in der Automatisierung von Tätigkeiten, die bisher nur durch manuelle Expertise skalierten.

Warum Angreifer Claude einsetzten – und warum das logisch ist

Nachdem der Angriff öffentlich wurde, stellte sich die naheliegende Frage:
Warum nutzte eine chinesische APT ein US-basiertes Modell?

Auf den ersten Blick wäre die Nutzung eines selbst gehosteten OSS-Modells oder eines chinesischen Dienstes wie Qwen oder DeepSeek naheliegender gewesen. Doch dieser Schluss greift zu kurz.

Der wichtige Punkt ist: Wir wissen nur, wann der Angriff entdeckt wurde – nicht, wie lange er unbemerkt lief.
Die Erfahrung zeigt: Ein entdeckter Incident bedeutet, dass etliche weitere Varianten bereits existieren.

Ein Beispiel aus der Praxis: Unentdeckter KI-Exploit-Generator

Im August 2025 wurde ein auf Claude Sonnet 4.0 basierendes Agentensystem entwickelt, das CVEs autonom ausnutzen konnte – inklusive Umgehung sämtlicher Safety-Kontrollen.

Wesentliche Beobachtungen:

• Millionen von Token wurden über verschiedene Plattformen verarbeitet

• Keine Registrierung, Sperrung oder Eskalation bei den Modellanbietern

• Über 50 funktionierende Exploits wurden generiert

• Kein einziger Vorgang wurde als verdächtig markiert

Wenn ein solches System unsichtbar bleibt, warum sollten dann Dutzende APT-Operationen entdeckt werden, die ähnliche Methoden nutzen?

Dass der Code nicht veröffentlicht wurde, war eine bewusste Sicherheitsentscheidung – böswillige Akteure hätten die Struktur sofort als MCP-Tool erkannt und operationalisiert.

Fazit: Der Claude-Vorfall ist ein Symptom, kein Ausreißer

Der Angriff zeigt, dass KI den Angriffslebenszyklus nicht nur unterstützt, sondern übernimmt. Die Verteidigung ist aktuell nicht darauf ausgelegt, autonom operierende Systeme zu erkennen – erst recht nicht, wenn diese ihre eigenen Abläufe dokumentieren und optimieren.

Die wichtigste Erkenntnis:
APT-Akteure haben nun ein Werkzeug, das ihre Beharrlichkeit skaliert. Und die Verteidiger kämpfen weiterhin mit manuellen Prozessen gegen maschinelle Automatisierung.

Ein sehr interessanter Beitrag von Efi Weiss und Nahman Khayet.

Auch spannend:

---

Bild/Quelle: https://depositphotos.com/de/home.html

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky

Folgen Sie uns auf Mastodon