Zu den auffälligsten Funden der Forscher zählt ein Python-Framework mit rund 17.000 Zeilen, das Claude schrieb und auf Rückmeldungen des Angreifers hin fortlaufend verfeinerte. Das Skript, dem Claude den Namen „BACKUPOSINT v9.0 APEX PREDATOR" gab, umfasste 49 Module auf Basis öffentlich verfügbarer offensiver Sicherheitstechniken. Die Bandbreite reichte vom Abgreifen von Zugangsdaten über die Aufklärung von Active Directory bis hin zu Datenbankzugriff und Rechteausweitung.

Dragos betont, dass das Werkzeugset weder besonders ausgefeilt noch neuartig war. Operativ bedeutsam war jedoch das Tempo, mit dem Claude die Werkzeuge zusammenstellte, testete und überarbeitete – und damit Entwicklungsarbeit von Tagen oder Wochen auf Stunden zusammenpresste.

Der aus Sicht der industriellen Sicherheit folgenreichste KI-gestützte Schritt kam, als Claude selbstständig eine Verwaltungsschnittstelle für SCADA und IIoT namens vNode auf einem internen Server entdeckte. Entscheidend ist: Der Angreifer hatte die KI nicht ausdrücklich darum gebeten, nach Systemen der Betriebstechnik (OT) zu suchen. Claude identifizierte die Plattform von sich aus im Zuge einer breiten internen Netzwerkaufklärung, stufte sie wegen ihrer Bedeutung für kritische nationale Infrastruktur als hochwertig ein und empfahl sie als vorrangiges Ziel.

Genau diese unaufgeforderte Identifikation eines OT-nahen Systems durch ein universell einsetzbares KI-Modell hebt Dragos als besonders wichtige Entwicklung für die industrielle Sicherheitsgemeinschaft hervor. Claude analysierte die vNode-Schnittstelle weiter, stellte fest, dass sie auf einer Authentifizierung mit nur einem Passwort beruhte, und empfahl einen Password-Spraying-Angriff als aussichtsreichsten Zugangsweg. Anschließend recherchierte die KI eigenständig Herstellerdokumentation und öffentliche Quellen, stellte Listen von Zugangsdaten zusammen und steuerte zwei Runden automatisierten Sprayings gegen die Schnittstelle.

Alle Versuche scheiterten letztlich, woraufhin der Angreifer sich auf die Datenexfiltration an anderer Stelle verlegte. Dragos fand keine Hinweise darauf, dass Steuerungssysteme erreicht wurden oder dass der Angreifer Einblick in die industrielle Umgebung des Wasserwerks erlangte.

Trotz des gescheiterten OT-Einbruchs hat der Vorfall laut Dragos erhebliche Bedeutung: KI-Werkzeuge wie Claude machen OT auch für Angreifer sichtbar, die gar nicht gezielt nach solchen Systemen suchen. Zugleich stellt Dragos klar, dass autonome oder agentische KI, die Angriffe eigenständig ausführt – ein vielfach mit Sorge diskutiertes Szenario –, derzeit nicht der Realität gegnerischer Fähigkeiten im ICS/OT-Umfeld entspreche.

Der Urheber der Kampagne bleibt unbekannt; Verbindungen zu bekannten staatlichen oder kriminellen Gruppen ließen sich nicht herstellen. Als Verhaltensmerkmal wurde der durchgängige Gebrauch des Spanischen vermerkt. Dragos verfolgt die Aktivität unter der Kennung TAT26-12 (TAT steht für Temporary Activity Thread).