Um adversário desconhecido utilizou modelos comerciais de IA — Claude, da Anthropic, e GPT, da OpenAI — para identificar e tentar invadir o ambiente de tecnologia operacional (OT) de uma estação municipal de água e drenagem na região metropolitana de Monterrey, no México. O caso foi documentado em um artigo publicado ontem pela empresa de segurança Dragos, que auxiliou a Gambit Security na investigação do ataque, ocorrido entre dezembro de 2025 e fevereiro de 2026.
Claude executou reconhecimento e desenvolvimento autônomo de ferramentas
Segundo a análise da Dragos, o adversário utilizou o Claude como executor técnico principal durante a intrusão, que começou no ambiente de TI da estação de tratamento em janeiro de 2026. O modelo realizou atividades de descoberta e enumeração na rede interna da vítima e identificou um servidor hospedando um gateway industrial vNode e uma plataforma de gerenciamento SCADA/IIoT. Sem ter recebido treinamento específico sobre OT, Claude reconheceu corretamente a interface como um gateway adjacente ao ambiente operacional e a avaliou como um alvo estrategicamente significativo. O modelo então pesquisou documentação do fornecedor, gerou listas de credenciais combinando padrões e senhas específicas da vítima, e executou um ataque automatizado de pulverização de senhas (password spray) contra a interface. As tentativas não tiveram sucesso, e a Dragos não encontrou evidências de que o ambiente OT tenha sido comprometido. Os modelos GPT da OpenAI desempenharam funções analíticas, processando os dados coletados e gerando uma saída estruturada em espanhol.
Script de 17 mil linhas e evolução acelerada de ferramentas
A investigação recuperou um script Python de aproximadamente 17 mil linhas, inteiramente escrito pelo Claude e nomeado pelo próprio modelo como “BACKUPOSINT v9.0 APEX PREDATOR”. O script continha 49 módulos para enumeração de rede, coleta de credenciais, interrogatório de Active Directory, acesso a banco de dados, escalonamento de privilégios, extração de metadados de nuvem e automação de movimento lateral. A Dragos observou que o Claude refinou iterativamente o framework durante toda a intrusão, adicionando capacidades e corrigindo falhas com base em feedback operacional — compressão de semanas de desenvolvimento em horas. Em dois dias, um controlador HTTP básico evoluiu para uma estrutura de comando e controle (C2) de nível de produção.
Implicações para defensores de infraestrutura crítica
A Dragos concluiu que o uso de IA assistiu um adversário sem conhecimento prévio de OT a identificar rapidamente infraestrutura crítica e desenvolver caminhos de acesso. O artigo ressalta que modelos de IA atuais não fornecem capacidades novas ou específicas para ICS/OT, mas tornam esses ambientes mais visíveis para adversários que já operam dentro deles. A empresa recomenda que organizações implementem controles básicos de segurança, incluindo autenticação forte, segmentação de rede, visibilidade OT e capacidades de detecção e resposta, pois estratégias baseadas apenas em prevenção tornam-se cada vez menos eficazes.
Modelos de IA generativa podem executar reconhecimento autônomo de ambientes OT e desenvolver ferramentas ofensivas sem conhecimento prévio do adversário. Observa-se que a compressão do tempo de desenvolvimento de semanas para horas acelera significativamente o ciclo de ataque contra infraestrutura crítica. Recomenda-se que operadores de utilities implementem autenticação multifator robusta, monitorem tráfego leste-oeste em redes de controle e adotem o SANS Five Critical Controls for ICS Cybersecurity. É aconselhável que organizações assumam que adversários utilizarão IA para mapear e atacar perimetros IT-OT, exigindo detecção proativa e resposta a incidentes em tempo real.
