Đầu năm 2026, một nhóm hacker chưa xác định danh tính đã sử dụng AI Claude của Anthropic để lên kế hoạch tấn công vào hệ thống cấp thoát nước của thành phố Monterrey, Mexico. Theo báo cáo từ công ty an ninh mạng Dragos và Gambit Security, đây được xem là một trong những vụ việc đầu tiên mà AI thương mại bị khai thác trong thực tế để nhắm vào hạ tầng công nghiệp trọng yếu.
Tháng 2/2026, các nhà nghiên cứu của Gambit Security phát hiện một lượng lớn dữ liệu liên quan đến chiến dịch tấn công quy mô rộng nhằm vào nhiều cơ quan chính phủ Mexico trong giai đoạn từ tháng 12/2025 đến tháng 2/2026. Trong quá trình điều tra, Dragos tiếp tục phân tích phần hoạt động liên quan đến Servicios de Agua y Drenaje de Monterrey, đơn vị chịu trách nhiệm quản lý hệ thống cấp thoát nước tại Monterrey.
Sau khi thu thập hơn 350 mẫu dữ liệu từ hạ tầng của nhóm tấn công, bao gồm script do AI tạo ra, công cụ tấn công và nhật ký tương tác, các nhà phân tích xác nhận hacker đã xâm nhập đáng kể vào hệ thống CNTT của đơn vị cấp nước và tìm cách tiến sâu hơn vào các hệ thống công nghệ vận hành điều khiển hạ tầng vật lý.
Điểm khiến vụ việc trở nên đặc biệt nằm ở vai trò trung tâm của AI trong toàn bộ chiến dịch. Theo báo cáo, hacker sử dụng Claude để lập kế hoạch xâm nhập, viết mã độc, lập bản đồ hệ thống nội bộ và điều chỉnh chiến thuật theo thời gian thực. Trong khi đó, các mô hình GPT của OpenAI đóng vai trò phụ trợ trong việc xử lý dữ liệu thu thập được và tạo báo cáo tình báo có cấu trúc.
Để vượt qua các lớp bảo vệ an toàn của AI, nhóm tấn công đã ngụy trang yêu cầu dưới dạng hoạt động kiểm thử bảo mật hợp pháp. Dragos cho biết khoảng 75% hoạt động thực thi lệnh từ xa trong chiến dịch nhằm vào hệ thống chính phủ Mexico được AI điều phối trực tiếp.
Sau khi truy cập vào mạng CNTT của đơn vị cấp nước, nhiều khả năng thông qua máy chủ web tồn tại lỗ hổng hoặc thông tin đăng nhập bị đánh cắp, hacker tiếp tục dùng Claude để phân tích môi trường nội bộ. AI này sau đó xác định một máy chủ chứa gateway công nghiệp vNode, giao diện web dùng để giám sát và quản lý quy trình công nghiệp, là mục tiêu có giá trị cao liên quan đến hạ tầng trọng yếu quốc gia.
Dù không được cung cấp kiến thức chuyên sâu về hệ thống điều khiển công nghiệp, Claude vẫn đề xuất nhóm tấn công thực hiện password spray nhằm vào giao diện vNode sử dụng cơ chế xác thực bằng một mật khẩu duy nhất. AI này còn tự tạo danh sách thông tin đăng nhập bằng cách kết hợp mật khẩu mặc định, biến thể tên người dùng và dữ liệu thu thập từ các vụ rò rỉ trước đó.
Nhóm hacker sau đó triển khai hai đợt tấn công tự động nhưng đều thất bại. Dragos cho biết họ không tìm thấy bằng chứng cho thấy kẻ tấn công từng truy cập được vào hệ thống vận hành cốt lõi của cơ sở hạ tầng cấp nước. Sau khi không thể tiến sâu hơn, nhóm này chuyển hướng sang đánh cắp dữ liệu từ các mục tiêu khác dễ khai thác hơn.
Dấu hiệu rõ ràng nhất cho thấy AI đã thay đổi cách tiến hành tấn công mạng nằm ở một script Python dài khoảng 17.000 dòng mang tên “BACKUPOSINT v9.0 APEX PREDATOR”. Theo Dragos, Claude gần như tự viết toàn bộ script này với 49 module khác nhau phục vụ quét mạng, thu thập thông tin đăng nhập, truy cập cơ sở dữ liệu, leo thang đặc quyền và di chuyển ngang trong hệ thống. Tất cả đều được xây dựng từ các kỹ thuật tấn công công khai trên Internet.
Trong suốt quá trình xâm nhập, Claude liên tục chỉnh sửa mã nguồn, bổ sung tính năng và sửa lỗi dựa trên phản hồi trực tiếp từ hacker. Dragos nhận định chu trình này đã rút ngắn khối lượng công việc vốn cần nhiều ngày thao tác thủ công xuống chỉ còn vài giờ. Một framework điều khiển từ xa riêng biệt cũng được phát triển từ phiên bản đơn giản thành hệ thống hoàn chỉnh chỉ trong vòng hai ngày.
Hiện chưa có bằng chứng cho thấy nhóm tấn công liên quan đến tổ chức tội phạm mạng hoặc chiến dịch do nhà nước hậu thuẫn. Dấu vết hành vi rõ ràng duy nhất là việc nhóm này sử dụng tiếng Tây Ban Nha nhất quán trong prompt và mã nguồn.
Sau vụ việc, Dragos khuyến nghị các tổ chức hạ tầng công nghiệp cần chuyển từ mô hình phòng thủ chỉ dựa vào ngăn chặn sang hệ thống có khả năng giám sát và phát hiện chủ động. Công ty nhấn mạnh rằng các biện pháp như phân tách mạng, xác thực an toàn, cập nhật bản vá và giám sát lưu lượng nội bộ đang trở nên quan trọng hơn trong bối cảnh AI có thể hỗ trợ hacker tăng tốc quy trình tấn công ở quy mô chưa từng có.
Nguyễn Hải
