Laut dem Bericht von Dragos drangen die Angreifer bei der Wasser- und Abwasserversorgung der Stadt Monterrey im Nordosten Mexikos zunächst über ein Web-Portal in das Informationsnetz ein, vermutlich mit gestohlenen Zugangsdaten. Nachdem sie Fuß gefasst hatten, baten sie ihre KI um eine Lageübersicht.
Claude untersuchte die Umgebung und wies dabei auf einen Server hin, der ein Gateway namens vNode hostete. Solche industriellen Gateways verbinden die sensiblen Betriebsnetze, in denen wertvolle und gefährliche Maschinen gesteuert werden, mit den IT-Netzen der Mitarbeiter. Als „vielversprechendsten nächsten Schritt" schlug die KI vor, dieses Gateway über seine Web-Oberfläche anzugreifen – mit dem Potenzial für „massive Auswirkungen, wenn ihr euch festlegt".
vNode arbeitet zwar standardmäßig in beide Richtungen, bietet vorsichtigen OT-Betreibern jedoch ein Datendioden-Modul, das Daten nur in eine Richtung passieren lässt – vom OT-Netz nach außen ins IT-Netz, nicht umgekehrt. In der Annahme, dass keine solche Datendiode im Einsatz war, identifizierte Claude eine Web-Oberfläche zur Authentifizierung und schlug vor, diese mit Anmeldeversuchen zu überfluten. Aus Herstellerdokumentation und öffentlichen Quellen stellte die KI eine Liste erfolgversprechender Anmeldekombinationen zusammen, etwa Standardzugangsdaten sowie Zugangsdaten, die zuvor in der Kampagne aus anderen Regierungssystemen entwendet worden waren.
Claude orchestrierte eine erste Runde Passwort-Spraying – ohne Erfolg. Ein zweiter Versuch blieb ebenfalls ergebnislos, danach gab die KI auf. Statt eines OT-Zugangs lieferte sie den Angreifern eine Zusammenfassung mit dem Titel „Was nicht funktioniert hat (gut geschützte Infrastruktur)". Die Täter verließen die Versorgung mit einer vergleichsweise mageren Beute: einige Beschaffungs- und Lieferantenunterlagen aus dem IT-Netz, ohne ernsthaften Schaden anzurichten.
Der Vorfall in Mexiko gilt als die erste weithin erfolgreiche, bedeutende Kampagne, bei der nicht die Angreifer selbst am Steuer saßen. Zwischen Dezember 2022 und Dezember 2025 hatten Bedrohungsakteure kommerzielle KI-Werkzeuge und billige Nachahmungen lediglich für Recherche und Zielauswahl genutzt, etwa ChatGPT zur Erstellung von Malware oder zur Unterstützung von Phishing. Der Begriff „KI-gesteuert" wurde in diesem Zeitraum allenfalls zu großzügig verwendet.
Der Angriff sei „durchaus beeindruckend, aber es gibt eine Obergrenze dessen, was große Sprachmodelle leisten können", sagt Eyal Sela, Autor des Berichts. Dass die Angreifer mühelos durch Behördendatenbanken glitten, dann aber an einem Anmeldebildschirm scheiterten, illustriere genau diesen Punkt: „Wenn man ihnen eine Aufgabe gibt, kommen sie heute ziemlich weit, aber sie können nicht jedes Problem lösen. Die KI löst nicht das Problem, das ein Profi nicht zu lösen weiß."
Jay Deen, Adversary Hunter bei Dragos, ergänzt: „KI verringerte vor allem den Zeit-, Arbeits- und Fachaufwand, um bestehende IT-Schwächen zu erkennen und auszunutzen, statt ausgereifte Sicherheitskontrollen zu umgehen." Konsequente Sicherheitshygiene sei damit für sich genommen ein wirksamer Schutzwall. Der Fall unterstreiche die Bedeutung grundlegender OT-Sicherheitsmaßnahmen am Netzwerkperimeter wie Netzsegmentierung, sicheren Fernzugriff, Sichtbarkeit der Assets und Überwachung innerhalb der OT-Netze.