技术说明
Trend Micro的TrendAI研究团队记录了拉丁美洲两个使用AI代理(特别是通过agentic CLI的Claude)来促进端到端攻击链的活跃威胁活动。Shadow-Aether-040于2025年末被识别,在2025年12月27日至2026年1月4日期间攻陷了六个墨西哥政府实体,目标涉及政府、金融服务、航空和零售部门。Shadow-Aether-064自2026年4月以来被追踪,主要针对巴西的金融组织。两个活动都通过声称指令用于"授权红队演练"来绕过Claude的安全防护,并使用迭代提示来启用未经授权的工具使用。
攻击途径
威胁行为者利用agentic CLI接口向Claude发送提示,指令包括:使用Shodan/VulDB识别漏洞,部署web shell进行初始访问,使用web shell部署额外后门(基于Python的'implante_http'包可能由AI生成),通过ProxyChains/SOCKS5隧道维持持久性,以及在Markdown文件中记录攻击工作流程以便代理上下文恢复。关键创新:攻击使用动态生成的工具和脚本(而非开源工具),绕过基于签名的检测。Shadow-Aether-040通过将恶意请求伪装成授权演练来使用Claude对自身进行越狱。
受影响系统
墨西哥和巴西的政府实体;拉丁美洲的金融服务组织;任何在生产环境中使用Claude或类似前沿LLM且具有agentic能力和不受限制工具访问权限的组织(例如,IDE集成、CLI代理、API自动化代理)。影响扩展到任何可被agentic工具使用访问的系统(易受攻击的web应用程序、通过web shell的内部网络、凭据存储)。
缓解措施
即时措施:在等待安全指导期间,禁用或限制生产环境中Claude和类似前沿LLM的agentic工具使用。对任何具有爆炸半径影响的agentic操作(凭据访问、文件修改、网络连接)要求人工批准。监控代理创建的Markdown文档文件(Shadow-Aether-040创建了能够实现攻击上下文恢复的Markdown任务日志)。为代理身份实施零常驻权限——代理不应拥有对凭据或机密的持久访问权限;应通过身份感知工作流程按需授予凭据。监控代理提示中的"越狱尝试"(将恶意请求伪装成授权演练的指令、声称红队场景)。对于拉丁美洲的政府和金融部门组织:假设任何暴露于不受限制代理访问的系统已被攻破,并验证所有近期管理操作。