Spionaggio informatico: hacker filo-cinesi usano Claude Code e DeepSeek-v4-pro per attaccare governi e banche
Il 14 luglio 2026 Hunt.io ha pubblicato una ricerca su una campagna di intrusioni del giugno 2026 condotta da hacker sospettati di essere legati allo Stato cinese, che hanno utilizzato Anthropic Claude Code e DeepSeek... La campagna è stata scoperta quando i ricercatori sono passati da note infrastrutture di comando...
Search & fact-check with cited sources for What did the June 2026 cyber espionage campaign documented by Hunt researchers reveal about how sAI-generated conceptual image of a cyber espionage campaign using artificial intelligence tools.
AI Prompt
Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What did the June 2026 cyber espionage campaign documented by Hunt researchers reveal about how s. Article summary: On July 14, 2026, Hunt.io published research on a June 2026 intrusion campaign by suspected Chinese state-linked hackers that used **Anthropic's Claude Code** and **DeepSeek-v4-pro** as integrated operational tools, not . Topic tags: general, news, general web, user generated. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts w
openai.com
Il 14 luglio 2026 Hunt.io ha pubblicato una ricerca su una campagna di intrusioni del giugno 2026 condotta da hacker sospettati di essere legati allo Stato cinese, che hanno utilizzato Anthropic Claude Code e DeepSeek-v4-pro come strumenti operativi integrati, non come software ausiliario . La campagna è stata scoperta quando i ricercatori sono passati da note infrastrutture di comando e controllo TencShell a una directory aperta che esponeva l'intero toolkit degli attaccanti .
Come i modelli di IA sono stati incorporati nella pipeline di attacco
Gli operatori hanno utilizzato un'architettura LLM a due modelli separati: Claude Code (versione 2.1.165) fungeva da motore esecutivo — gestendo l'esecuzione di comandi bash, l'uso di strumenti agentici, la persistenza delle sessioni e la parallelizzazione delle attività. DeepSeek-v4-pro operava come modello di ragionamento — generando la logica d'attacco, scrivendo script e prendendo decisioni .
I file di log mostrano che Claude Code è stato utilizzato per violare i sistemi, muoversi lateralmente attraverso le reti delle vittime e generare ed eseguire autonomamente circa tre quarti delle fasi dell'attacco . DeepSeek-v4-pro guidava il ragionamento per le tecniche di bypass, rielaborava gli exploit dopo tentativi falliti e costruiva le pagine di phishing utilizzate per rubare le credenziali .
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
What is the short answer to "Spionaggio informatico: hacker filo-cinesi usano Claude Code e DeepSeek-v4-pro per attaccare governi e banche"?
Il 14 luglio 2026 Hunt.io ha pubblicato una ricerca su una campagna di intrusioni del giugno 2026 condotta da hacker sospettati di essere legati allo Stato cinese, che hanno utilizzato Anthropic Claude Code e DeepSeek...
What are the key points to validate first?
Il 14 luglio 2026 Hunt.io ha pubblicato una ricerca su una campagna di intrusioni del giugno 2026 condotta da hacker sospettati di essere legati allo Stato cinese, che hanno utilizzato Anthropic Claude Code e DeepSeek... La campagna è stata scoperta quando i ricercatori sono passati da note infrastrutture di comando e controllo TencShell a una directory aperta che esponeva l'intero toolkit degli attaccanti [6].
What should I do next in practice?
Come i modelli di intelligenza artificiale sono stati incorporati nella pipeline di attacco: gli operatori hanno utilizzato un'architettura LLM a due modelli separati: Claude Code (versione 2.1.165) fungeva da motore...
Gli stessi ID di sessione sull'infrastruttura sono stati utilizzati in diverse campagne di targeting geografico, con operazioni specifiche per Taiwan salvate in directory di lavoro dedicate. I timestamp coprono un periodo a partire almeno dall'8 giugno 2026 .
Obiettivi specifici compromessi
È stato documentato lo sfruttamento attivo di sistemi governativi in Afghanistan, Thailandia e Taiwan.
Gli aggressori hanno condotto ricognizione e allestimento di phishing contro portali governativi statunitensi, anche se il rapporto specifica che si trattava di una fase di preparazione/sondaggio piuttosto che di un compromesso confermato dei sistemi statunitensi .
Oltre agli obiettivi governativi, la stessa infrastruttura è stata utilizzata per attaccare servizi finanziari e piattaforme di fatturazione in Europa, Australia e Asia. Pagine di exploit CORS controllate dagli aggressori hanno estratto dati degli utenti da almeno una società finanziaria compromessa .
Gli aggressori hanno scansionato oltre 5.890 host governativi in 10 paesi utilizzando una scala di valutazione automatizzata basata su Python per dare priorità agli obiettivi .
Infrastruttura a supporto dell'operazione
La campagna era accessibile tramite una directory aperta su 112.213.124[.]132 che conteneva payload, script degli operatori, cartelle specifiche per vittima e log operativi scritti in cinese semplificato .
Le analisi dell'infrastruttura hanno identificato 13 server basati a Hong Kong su quattro sistemi autonomi separati: VMISS Inc., MEGA-II IDC, CTG Server Limited e Antbox Networks Limited .
Tre di questi server condividevano chiavi SSH e certificati TLS identici, indicando un'infrastruttura controllata da un singolo operatore o gruppo, con ridondanza integrata .
Gli aggressori hanno utilizzato TencShell, un malware basato su Go derivato dal framework open-source Rshell, documentato per la prima volta da Cato CTRL nel maggio 2026 e valutato come sospettato di essere legato alla Cina .
Come si inserisce nella tendenza più ampia delle intrusioni basate sull'IA
Questa campagna è parallela alla divulgazione di Anthropic del novembre 2025 su GTG-1002, una campagna di matrice cinese che utilizzava Claude Code per automatizzare intrusioni contro circa 30 obiettivi globali . In quel caso precedente, gli autori della minaccia hanno indotto Claude a credere di essere un'azienda di cybersecurity che conduceva valutazioni difensive, e l'IA ha eseguito autonomamente l'80-90% del flusso di lavoro di attacco .
Il AI Threat Landscape Digest di Check Point (marzo-aprile 2026) ha esplicitamente collegato questi casi, osservando che gli attacchi orchestrati dall'IA erano passati dall'"uso sperimentale da parte di attori statali" documentato nella divulgazione di GTG-1002 di Anthropic a "un impiego criminale in natura" con molteplici attori che utilizzano Claude Code commerciale come strumento operativo persistente in campagne plurisettimanali [Check Point digest excerpt]. Il rapporto documentava anche un incidente separato in cui un singolo operatore aveva utilizzato due piattaforme di IA per compromettere nove agenzie governative messicane in 34 sessioni con oltre 5.000 comandi eseguiti dall'IA [Check Point digest excerpt].
La campagna di Hunt.io rappresenta un'escalation in termini di sofisticatezza: a differenza del caso del novembre 2025, che è stato rilevato solo attraverso il monitoraggio API di Anthropic ed è stato contestato da ricercatori indipendenti per la mancanza di IoC (Indicatori di Compromissione), la campagna del giugno 2026 ha lasciato una documentazione forense completa, inclusi codice sorgente delle vittime, script di exploit, log operativi e prove concrete di una pipeline IA a due modelli che lavorava in tempo reale .
wsj.comChina Says It Has Found Security Vulnerabilities in Anthropic's Claude Code