Het cybersecuritybedrijf Dragos heeft een rapport gepubliceerd over een cyberaanval op een gemeentelijke water- en rioleringsdienst in Monterrey, Mexico. Tijdens deze aanval in januari 2026 maakte een onbekende dreigingsactor uitgebreid gebruik van AI-tools om het aanvalstraject te ondersteunen. De aanval maakte deel uit van een bredere campagne gericht op meerdere Mexicaanse overheidsinstanties tussen december 2025 en februari 2026. Onderzoekers van Gambit Security ontdekten de campagne en schakelden Dragos in om de dreiging voor industriële controlesystemen (ICS) bij het waterbedrijf te beoordelen.

Wat deze inbraak onderscheidde van reguliere cyberaanvallen was de centrale rol van de AI-modellen Claude van Anthropic en GPT van OpenAI, die samen als een AI-ondersteunde operationele motor fungeerden. Claude was verantwoordelijk voor de technische planning, ontwikkeling van tools en probleemoplossing, terwijl GPT zich richtte op het verwerken van slachtofferdata en het structureren van rapportages. Onder de meest opvallende vondsten bevond zich een Python-framework van 17.000 regels code, geschreven en continu aangepast door Claude op basis van feedback van de aanvaller. Dit script, genaamd ‘BACKUPOSINT v9.0 APEX PREDATOR’, bestond uit 49 modules die gebruikmaakten van publiek beschikbare offensieve securitytechnieken, variërend van credential harvesting en Active Directory-verkenning tot database-toegang en privilege escalation.

Hoewel de gebruikte toolset niet bijzonder geavanceerd of nieuw was, benadrukte Dragos dat de snelheid waarmee Claude deze tools samenstelde, testte en verbeterde operationeel significant was. Wat normaal dagen of weken aan ontwikkeling kost, gebeurde nu binnen enkele uren. Vanuit industrieel beveiligingsperspectief was de belangrijkste AI-actie dat Claude zelfstandig een vNode SCADA- en IIoT-beheerinterface op een interne server identificeerde. Cruciaal hierbij is dat de aanvaller de AI niet specifiek opdracht gaf om naar operationele technologie (OT) te zoeken. Claude ontdekte het platform tijdens een brede interne netwerkverkenning, classificeerde het als een waardevol doel vanwege de relevantie voor kritieke nationale infrastructuur en adviseerde het als prioriteit aan te vallen. Deze ongevraagde identificatie van een OT-gerelateerd systeem door een algemene AI wordt door Dragos gezien als een belangrijke ontwikkeling voor de industriële beveiligingsgemeenschap.

Claude analyseerde vervolgens de vNode-interface, concludeerde dat deze werkte met een enkel wachtwoordmechanisme en adviseerde een password-spray-aanval als meest kansrijke toegangsmethode. De AI onderzocht zelfstandig leveranciersdocumentatie en openbare bronnen, stelde lijsten met credentials samen en voerde twee rondes geautomatiseerde wachtwoordpogingen uit. Alle pogingen mislukten uiteindelijk, waarna de aanvaller zich richtte op datalekken elders. Dragos vond geen bewijs dat er toegang werd verkregen tot controlesystemen of dat de aanvaller operationeel inzicht kreeg in de industriële omgeving van het waterbedrijf.

Ondanks het mislukken van de OT-inbraak wijst Dragos op de belangrijke implicaties van dit incident. AI-tools zoals Claude maken OT-systemen beter zichtbaar voor aanvallers die hier niet specifiek naar zoeken. Tegelijkertijd benadrukt Dragos dat autonome AI die zelfstandig aanvallen uitvoert, een scenario dat in het publieke debat vaak wordt genoemd, momenteel niet overeenkomt met de realiteit van dreigingsactoren in de ICS/OT-omgeving. De identiteit van de aanvaller blijft onbekend, er zijn geen connecties met bekende staat- of criminele groepen vastgesteld, al werd het consistente gebruik van Spaans als gedragskenmerk opgemerkt. Dragos volgt deze activiteit onder de aanduiding TAT26-12 (Temporary Activity Thread). Het volledige rapport is beschikbaar in PDF-formaat.