Ein unbekannter Angreifer nutzte kommerzielle Tools für künstliche Intelligenz von Anthropic und OpenAI untersuchen das Unternehmen eines mexikanischen Wasserversorgers Dies geht aus einer neuen Analyse des industriellen Cybersicherheitsunternehmens Dragos hervor.

Dragos sagte, das sei der Fall überprüfte Beweise eines Einbruchs in ein kommunales Wasser- und Entwässerungsunternehmen, das die Metropolregion Monterrey versorgt, wo eine „erhebliche Kompromittierung“ der IT-Umgebung des Unternehmens im Januar zu einem Versuch eskaliert war in die Umgebung der Betriebstechnologie (OT) eindringen – die Systeme, die physische Industrieprozesse überwachen und steuern.

Der Einbruch wurde als Teil eines identifiziert Eine umfassendere Kampagne wurde von Forschern von Gambit Security aufgedecktder im Februar Materialien im Zusammenhang mit einer groß angelegten Kompromittierung mehrerer mexikanischer Regierungsorganisationen zwischen Dezember 2025 und Februar 2026 sichergestellt hat. Dragos wurde hinzugezogen, um Gambits Ermittlungen zu unterstützen, und konzentrierte sich speziell auf den Wasserversorger.

Laut Dragos nutzten die Angreifer Claude von Anthropic als „primären technischen Ausführenden“ der Operation, wobei die GPT-Modelle von OpenAI analytische Rollen übernahmen und strukturierte spanischsprachige Ausgaben generierten. Gemeinsam fungierten die beiden Systeme „als koordinierte Fähigkeit zur Aufklärung, seitlichen Bewegung, Zählung, Ausbeutung und Exfiltration“, sagte Dragos.

Jay Deen, Associate Principal Adversary Hunter bei Dragos, sagte, handelsübliche KI-Tools hätten „einem Angreifer ohne vorheriges Ziel in der OT-Targeting“ dabei geholfen, eine industrielle Umgebung zu identifizieren und „einen praktikablen Zugangsweg“ zu dieser zu entwickeln. „Diese Ergebnisse zeigen, wie die Einführung kommerzieller KI-Tools als Einbruchshilfe OT für Angreifer, die bereits in der IT tätig sind, sichtbarer gemacht hat“, schrieb er.

Dragos analysierte Mehr als 350 Artefakte wurden nach dem Eindringen geborgendie meisten davon sind KI-generierte bösartige Skripte. Nach der ersten Kompromittierung im Januar beauftragte der Angreifer Claude mit der Kartierung des internen Netzwerks. Das Modell identifizierte einen Server, der ein vNode-Industrie-Gateway und eine SCADA/IIoT-Managementplattform hostet – Software, die zwischen den IT-Systemen eines Unternehmens und seinen industriellen Steuerungssystemen sitzt.

Was die Kampagne auszeichnete, argumentierte Dragos, sei nicht die Raffinesse der verwendeten Techniken – von denen viele online gut dokumentiert seien –, sondern wie schnell die KI-Modelle sie in die Praxis umsetzten

Ohne einen vorherigen Kontext zu industriellen Steuerungssystemen zu haben, sagte Dragos, habe Claude „die vNode-Schnittstelle richtig als Gateway zur OT-angrenzenden Infrastruktur erkannt“ und sie als strategisch wichtiges Ziel bewertet. Anschließend untersuchte das Modell die Herstellerdokumentation, erstellte Zugangsdatenlisten und führte einen automatisierten Passwort-Spraying-Angriff gegen die Single-Passwort-Anmeldung der Plattform durch. Die Versuche scheiterten, und Dragos sagte es Es wurden keine Hinweise darauf gefunden, dass der Angreifer in die OT-Umgebung eingedrungen ist.

Zu den auffälligsten Beweisstücken gehörte ein vollständig von Claude geschriebenes Python-Skript mit 17.000 Zeilen, das das Modell selbst „BACKUPOSINT v9.0 APEX PREDATOR“ nannte und das als zentrales Post-Compromise-Framework verwendet wurde. Es enthielt 49 Module zu den Themen Netzwerkaufzählung, Credential Harvesting, Active Directory-Abfrage, Rechteausweitung, Cloud-Metadatenextraktion und Lateral Movement, die alle auf öffentlich verfügbaren Techniken basierten. Ein separates Command-and-Control-Framework sei „innerhalb von zwei Tagen von einem einfachen HTTP-basierten Controller zu einem produktionstauglichen C2 weiterentwickelt worden“, sagte das Unternehmen und verdeutlichte, wie KI „die traditionell Tage oder Wochen dauernde Werkzeugentwicklung in Stunden komprimiert“ habe.

Was die Kampagne auszeichnete, argumentierte Dragos, sei nicht die Raffinesse der verwendeten Techniken – von denen viele online gut dokumentiert seien –, sondern wie schnell die KI-Modelle sie in die Praxis umsetzten. Der Gegner habe keine „aussagekräftigen Kenntnisse von OT oder ICS“ nachgewiesen, sagte das Unternehmen: „Claude hat diesen Kontext autonom bereitgestellt.“

Dragos versuchte, sich gegen die Angst und den Hype rund um „autonome oder agentenbasierte KI, die eine Kompromittierung und Störung der Infrastruktur ermöglicht“ zu wehren. Aktuelle KI-Modelle bieten zwar keine neuartigen ICS- oder OT-spezifischen Fähigkeiten, können aber industrielle Umgebungen für Angreifer sichtbarer machen, die sich bereits in Unternehmensnetzwerken befinden. Der unbekannte Gegner hatte keine Überschneidungen mit zuvor verfolgten Bedrohungsgruppen.

Dragos argumentierte, dass dies zwei Auswirkungen auf die Verteidiger habe: Organisationen ohne grundlegende Sicherheitskontrollen seien weiterhin einem erhöhten Risiko ausgesetzt, da KI bekannte Techniken schnell gegen schwache Authentifizierung und Standardanmeldeinformationen einsetzen könne; Und wenn sich die Modelle verbessern, werden OT-Strategien, die nur der Prävention dienen, „weniger wirksam“, da Firewalls, Segmentierung und Patching mit einer stärkeren Netzwerktransparenz, Erkennung und Reaktion gepaart werden müssen. Eine ausführlichere technische Analyse ist im Begleitbericht des Unternehmens mit dem Titel „AI-Assisted Compromise of Mexican Water Utility with OT Implications“ enthalten.