一名威胁攻击者成功入侵了九家墨西哥政府机构,通过高度复杂的网络攻击窃取了数亿条公民记录。这场攻击活动从2025年12月下旬持续至2026年2月中旬,凸显出现代威胁态势的危险转变。
Gambit Security研究人员近期发布了一份完整的技术报告,详细说明了攻击者如何依赖两大商业人工智能平台实施攻击。该报告的发布曾被推迟,以便受影响机构完成事件响应工作。
Part01AI 模型成为攻击核心驱动力
攻击者不仅将Anthropic的Claude Code和OpenAI的GPT-4.1用于策划攻击,更将其作为核心操作工具,大幅加速了攻击进程。根据恢复的取证证据显示,Claude Code在入侵过程中生成并执行了约75%的远程命令。
在受害者基础设施的34个活跃会话中,黑客共输入了1088条指令。这些指令转化为5317条由AI执行的命令,充分展现了AI在漏洞利用阶段的深度整合。
与此同时,攻击者利用OpenAI的GPT-4.1进行快速侦察和数据处理。黑客开发了一个包含17550行代码的定制Python脚本,专门用于将入侵服务器获取的原始数据通过OpenAI API直接传输。
这套自动化系统分析了305台内部服务器的信息,快速生成了2597份结构化情报报告。通过自动化数据分析阶段,单个操作者成功处理了传统上需要整个团队才能完成的情报量。
Part02攻击效率被大幅压缩
人工智能的整合使攻击者能在数小时内将陌生网络转化为已测绘目标,而非传统所需的数天时间。恢复的材料显示,攻击者拥有超过400个定制攻击脚本。
此外,黑客利用AI快速开发了20个针对性漏洞利用程序,分别对应20 个特定的CVE漏洞。这种高速能力压缩了攻击时间线,使威胁攻击者能在标准检测和响应窗口之外完成操作。
Part03传统漏洞仍是致命软肋
尽管攻击活动中使用了先进方法,但实际利用的漏洞却非常传统。目标政府机构存在基本安全漏洞,使攻击者能够获取初始访问权限并进行横向移动。这些问题本可通过标准安全控制措施解决,凸显出关键基础设施中严重的技术债务积累。
Part04防御建议:回归基础安全实践
虽然人工智能显著降低了实施大规模网络攻击的成本和复杂度,但防御策略仍需立足于基础安全实践。各组织必须紧急解决未修补软件问题,实施严格的凭证轮换策略。一旦外围防御被突破,执行网络分段对于限制横向移动也至关重要。
最后,部署强大的终端检测和响应工具,对于在数据外泄前识别这些被大幅压缩的攻击时间线十分必要。
参考来源: freebuf
领取优惠
提交成功!