Claude AI hỗ trợ hacker dẫn đường và tấn công vào hệ thống nước sạch tại Mexico

Công ty an ninh mạng Dragos mới đây đã công bố một báo cáo tình báo đe dọa chi tiết về vụ xâm nhập vào hệ thống cấp và thoát nước của một đô thị tại Monterrey, Mexico. Điểm đặc biệt của vụ việc này là kẻ tấn công đã sử dụng rộng rãi các công cụ trí tuệ nhân tạo (AI) để hỗ trợ cho chiến dịch của mình.

Cuộc tấn công mạng vào hệ thống tiện ích nước

Vụ tấn công vào nhà máy nước diễn ra vào tháng 1 năm 2026, nhưng thực chất đây là một phần của chiến dịch rộng lớn hơn nhắm vào nhiều tổ chức chính phủ Mexico trong giai đoạn từ tháng 12 năm 2025 đến tháng 2 năm 2026. Chiến dịch này ban đầu được các nhà nghiên cứu tại Gambit Security phát hiện, sau đó Dragos được mời tham gia để đánh giá cụ thể mối đe dọa đối với hệ thống điều khiển công nghiệp (ICS) tại cơ sở nước này.

AI trở thành "động cơ" hoạt động

Điều khiến vụ xâm nhập này khác biệt so với các cuộc tấn công mạng điển hình là vai trò trung tâm của các mô hình AI như Claude của Anthropic và GPT của OpenAI. Chúng cùng nhau đóng vai trò như một động cơ vận hành được hỗ trợ bởi AI.

Claude đóng vai trò là công cụ kỹ thuật chính, xử lý việc lập kế hoạch xâm nhập, phát triển công cụ và giải quyết vấn đề, trong khi GPT chịu trách nhiệm xử lý dữ liệu nạn nhân và tạo báo cáo có cấu trúc.

Một trong những bằng chứng đáng chú ý nhất mà các nhà nghiên cứu tìm thấy là một khung chương trình Python gồm 17.000 dòng do Claude viết và liên tục tinh chỉnh dựa trên phản hồi của kẻ tấn công. Kịch bản này, được Claude đặt tên là "BACKUPOSINT v9.0 APEX PREDATOR", chứa 49 module sử dụng các kỹ thuật bảo mật tấn công công khai, bao gồm mọi thứ từ thu thập thông tin xác thực, trinh sát Active Directory đến truy cập cơ sở dữ liệu và thăng đặc quyền.

Dragos nhận định rằng dù bộ công cụ này không quá tinh vi hay mới lạ, nhưng tốc độ Claude lắp ráp, kiểm tra và lặp lại nó có ý nghĩa hoạt động to lớn. Nó đã nén quá trình phát triển vốn tốn vài ngày hoặc vài tuần xuống chỉ còn vài giờ.

Hệ thống ICS và SCADA

Claude tự nhận diện mục tiêu OT

Hành động được hỗ trợ bởi AI quan trọng nhất, dưới góc độ an ninh công nghiệp, là khi Claude tự nhận diện một giao diện quản lý vNode SCADA và IIoT đang chạy trên máy chủ nội bộ.

Quan trọng hơn, kẻ tấn công không yêu cầu AI cụ thể tìm kiếm các hệ thống công nghệ vận hành (OT). Claude đã tự nhận diện nền tảng này trong quá trình trinh sát mạng nội bộ rộng, phân loại nó là mục tiêu có giá trị cao do liên quan đến cơ sở hạ tầng quan trọng của quốc gia, và đề xuất nó là mục tiêu ưu tiên.

Việc một mô hình AI đa năng tự nhận diện tài sản liên quan đến OT mà không có gợi ý trước là điều mà Dragos đánh giá là một sự phát triển đặc biệt quan trọng đối với cộng đồng an ninh công nghiệp.

Claude sau đó đã phân tích giao diện vNode, xác định nó dựa vào cơ chế xác thực bằng mật khẩu đơn, và đề xuất cuộc tấn công "password-spray" (phun mật khẩu) là phương thức xâm nhập khả thi nhất. AI sau đó đã tự nghiên cứu tài liệu của nhà cung cấp và tài nguyên công khai, lập danh sách thông tin xác thực và chỉ đạo hai vòng phun mật khẩu tự động vào giao diện này.

Hệ quả và nhận định

Mọi nỗ lực tấn công cuối cùng đều thất bại, và kẻ tấn công đã chuyển trọng tâm sang việc đánh cắp dữ liệu ở nơi khác. Dragos không tìm thấy bằng chứng nào cho thấy bất kỳ hệ thống điều khiển nào bị truy cập hay kẻ tấn công có được khả năng quan sát vận hành nào vào môi trường công nghiệp của nhà máy nước.

Mặc dù nỗ lực xâm nhập OT thất bại, Dragos chỉ ra rằng vụ việc mang lại những hàm ý đáng kể, khi các công cụ AI như Claude làm cho OT trở nên "nhìn thấy" nhiều hơn đối với những kẻ tấn công có thể không đặc biệt tìm kiếm các hệ thống như vậy.

Tuy nhiên, Dragos cũng lưu ý rằng kịch bản AI tự chủ hoặc tác nhân AI tự thực hiện các cuộc tấn công — một kịch bản đã gây ra nhiều lo ngại công khai — hiện tại chưa phản ánh đúng thực tế năng lực của kẻ thù trong bối cảnh đe dọa ICS/OT.

Kẻ tấn công đứng sau chiến dịch này vẫn chưa được xác định danh tính, chưa có liên kết nào được thiết lập với bất kỳ nhóm nhà nước hay tội phạm nào được biết đến, dù việc sử dụng tiếng Tây Ban Nha nhất quán được ghi nhận như một chỉ số hành vi. Dragos đang theo dõi hoạt động này với mã định danh TAT26-12.