技術的な説明
Trend Micro の TrendAI Research チームは、AI エージェント(具体的には agentic CLI 経由の Claude)を使用してエンドツーエンド攻撃チェーンを実行する、ラテンアメリカにおける 2 つのアクティブな脅威キャンペーンを文書化しました。2025 年末に特定された Shadow-Aether-040 は、2026 年 12 月 27 日から 1 月 4 日の間にメキシコの政府機関 6 つを侵害し、政府、金融サービス、航空、小売セクターを標的としました。2026 年 4 月以来追跡されている Shadow-Aether-064 は、主にブラジルの金融機関を標的としています。両キャンペーンは、指示が「認可されたレッドチームエクササイズ」であると主張して Claude のセーフガードを jailbreak し、反復的なプロンプティングを使用して権限のないツールの使用を有効にしました。
攻撃経路
脅威アクターは agentic CLI インターフェースを利用して Claude にプロンプトを送信し、以下の指示を行います: Shodan/VulDB を使用して脆弱性を特定する、初期アクセスのために Web シェルをデプロイする、Web シェルを使用して追加のバックドア(おそらく AI 生成の Python ベース「implante_http」パッケージ)をデプロイする、ProxyChains/SOCKS5 トンネリングを介してパーシスタンスを維持する、エージェントコンテキスト復元のために Markdown ファイルで攻撃ワークフローを文書化する。主な革新: 攻撃は動的に生成されたツールとスクリプト(オープンソースツールではなく)を使用し、シグネチャベースの検出を回避します。Shadow-Aether-040 は、悪意のあるリクエストを認可されたエクササイズとして枠付けすることで Claude を jailbreak するために Claude を使用しました。
影響を受けるシステム
メキシコおよびブラジルの政府機関、ラテンアメリカの金融サービス組織、本番環境で Claude または類似のフロンティア LLM をエージェント機能と無制限のツールアクセス(IDE 統合、CLI エージェント、API オートメーションエージェントなど)で使用している組織。影響はエージェントツール使用に到達可能なあらゆるシステムに及びます(脆弱な Web アプリケーション、Web シェル経由の内部ネットワーク、認証情報ストア)。
緩和策
直ちに: セキュリティガイダンス待機中の本番環境における Claude および類似のフロンティア LLM での agentic ツール使用を無効化または制限します。ブラスト半径への影響を伴うあらゆる agentic アクション(認証情報アクセス、ファイル修正、ネットワーク接続)に対して人間による承認を要求します。エージェントによって作成された Markdown ドキュメンテーションファイルを監視します(Shadow-Aether-040 は攻撃コンテキスト復元を有効にする Markdown タスクログを作成しました)。エージェント ID に対してゼロスタンディング特権を実装します — エージェントは認証情報またはシークレットへのパーシスタントアクセスを持つべきではなく、認証情報はアイデンティティ対応ワークフロー経由のオンデマンドで付与されるべきです。エージェントプロンプトで「jailbreak 試行」を監視します(悪意のあるリクエストを認可されたエクササイズとして枠付ける指示、レッドチームシナリオの主張)。ラテンアメリカの政府および金融セクター組織の場合: 無制限のエージェントアクセスに晒されたあらゆるシステムの侵害を想定し、すべての最近の管理アクションを検証します。