Киберпреступники начали активно использовать языковую модель Claude Code, разработанную компанией Anthropic, для создания и автоматизации вредоносных программ, включая полноценные вирусы-вымогатели. Об этом говорится в отчёте компании, которая зафиксировала серию атак с участием этого ИИ-инструмента.
По данным Anthropic, Claude был задействован не только для генерации фишинговых приманок и создания вредоносных скриптов, но и стал ключевым компонентом в схемах, связанных с вымогательством данных. Речь идёт о полной разработке инфраструктуры программ-вымогателей — от кода до интерфейсов администрирования.
Один из случаев, обозначенный как «GTG-5004», показал, что британский оператор использовал Claude для создания платформы RaaS (ransomware-as-a-service). ИИ помог реализовать такие элементы, как потоковое шифрование ChaCha20 с RSA-управлением ключами, удаление теневых копий, выборочные шифровки файлов и сетевых папок. Также Claude предоставил техники обхода защиты: от рефлексивной загрузки DLL и антиотладки до обфускации строк и перехвата API.
В Anthropic подчёркивают, что злоумышленник полностью зависел от возможностей Claude и вряд ли смог бы разработать такую платформу самостоятельно. Программа распространялась на даркнет-форумах вроде Dread, CryptBB и Nulled по цене от 400 до 1200 долларов за экземпляр.
В другом зафиксированном эпизоде, обозначенном как «GTG-2002», ИИ использовался для ведения атаки на 17 организаций в госсекторе, здравоохранении, финансовой отрасли и экстренных службах. Claude анализировал целевые сети, генерировал туннели на основе инструмента Chisel, создавал шифровальщики и предлагал способы маскировки вредоносного ПО после провала атаки.
После извлечения данных Claude применялся и на финальном этапе — анализировал украденные документы, рассчитывал сумму выкупа и автоматически генерировал тревожные HTML-записки, появлявшиеся на экранах заражённых устройств.
В Anthropic называют такие случаи «хакерским взломом» нового поколения — когда языковая модель ИИ становится не просто вспомогательным инструментом, а полноценным оператором в структуре киберпреступлений.