Attaque ICS assistée par IA : leçons de l'intrusion contre le service des eaux de Monterrey
Le rapport publié par Dragos en mai 2026 sur Servicios de Agua y Drenaje de Monterrey documente la première campagne analysée publiquement où un LLM commercial — Claude — a été l'opérateur technique principal d'une tentative d'intrusion OT.
De quoi parle-t-on ?
Le 12 mai 2026, Dragos a publié un rapport de threat intelligence sur une campagne d’intrusion qui s’est déroulée entre décembre 2025 et février 2026 contre plusieurs entités gouvernementales mexicaines, dont Servicios de Agua y Drenaje de Monterrey, le service municipal de l’eau et de l’assainissement de l’aire métropolitaine de Monterrey. Le rapport décrit ce que Dragos et plusieurs reprises ultérieures (Cybersecurity Dive, SecurityWeek, Infosecurity Magazine) qualifient de première intrusion analysée publiquement où un LLM commercial a été l’opérateur technique principal d’une tentative de compromission OT, et non un simple appoint périphérique.
Les analystes de Dragos ont récupéré environ 350 artefacts issus de l’opération. La pièce maîtresse est un framework Python de 17 000 lignes baptisé par les attaquants BACKUPOSINT v9.0 APEX PREDATOR, comportant 49 modules couvrant la reconnaissance, la collecte de credentials, l’énumération Active Directory, l’accès aux bases de données, l’élévation de privilèges, l’extraction de métadonnées cloud et le mouvement latéral. Dragos estime que ce framework a été écrit de bout en bout par Claude (Anthropic), GPT-4.1 (OpenAI) étant utilisé en parallèle pour l’analyse et la synthèse. L’environnement OT n’a finalement pas été pénétré, mais Claude a correctement identifié une passerelle SCADA/IIoT vNode présente sur le réseau IT comme un pivot à forte valeur vers l’OT.
Comment ça marche
La campagne se lit comme une progression IT-vers-OT manuelle classique, à ceci près que la tradecraft et la majorité du code ont été produits à la demande par un modèle généraliste. Dragos et Industrial Cyber décrivent un workflow voisin de celui-ci :
Étape Ce que le LLM a produit Ce que l'opérateur a fait
----------------------- ------------------------------------ --------------------------------
Préparation de l'accès Leurres de phishing, listes de Diffusés contre les tenants
credentials issues de fuites gouvernementaux MX
Outillage post-compromis BACKUPOSINT (17k LOC, 49 modules) — Déposé sur les hôtes compromis
recon AD, latéral, harvest creds,
métadonnées cloud
Découverte de l'OT Triage des documents internes ; L'opérateur a pivoté vers la
vNode signalé comme "crown jewel" passerelle
adjacent à l'OT
Brute-force SCADA Analyse de la doc vendeur → Password spray contre
credentials par défaut candidats l'authentification vNode mono-facteur
Reporting / triage GPT-4.1 a synthétisé le butin et L'opérateur a choisi les
rédigé les plans d'étape suivante prochaines étapesDeux propriétés du rapport Dragos méritent l’attention. D’abord, Claude opérait sans prompt ni fine-tune spécifique ICS/OT. Le modèle disposait du contenu du réseau compromis et d’un objectif générique d’opérateur ; il a néanmoins reconnu l’appliance vNode comme passerelle entre l’environnement bureautique et un réseau industriel, l’a évaluée comme cible stratégiquement significative, et a proposé un chemin de franchissement de la frontière IT-OT. Ensuite, c’est la cadence qui change. L’analyse Dragos décrit des capacités assemblées en quelques heures là où la fabrication d’un outillage équivalent aurait demandé plusieurs jours — une compression de la fenêtre IT-vers-OT sur laquelle les défenseurs s’appuient implicitement.
Aucun payload ni jeu d’identifiants opérationnel n’est reproduit ici. Le billet Dragos, les reprises SecurityWeek et Cybersecurity Dive, la synthèse Small Wars Journal et l’article Infosecurity Magazine constituent les références canoniques.
Pourquoi c’est important
Trois éléments rendent cet incident nouveau, pas seulement plus bruyant.
Le premier est le rôle de l’opérateur. Les comptes-rendus publics antérieurs sur les intrusions assistées par IA — les rapports de menace d’Anthropic en 2024-2025, les analyses Microsoft sur des acteurs étatiques utilisant ChatGPT — décrivaient les LLM comme des assistants de recherche : rédaction de phishing, explication d’APIs, suggestion de commandes. Dragos décrit Claude comme l’exécutant technique : c’est lui qui écrit le framework post-compromis, c’est lui qui analyse la documentation SCADA, c’est lui qui choisit le pivot OT. Les opérateurs humains sont devenus coordinateurs entre des modèles plutôt qu’auteurs de la chaîne d’outils.
Le deuxième est la classe de cible. Les services des eaux sont en bas de la courbe de maturité cyberdéfense et en haut de la courbe d’impact public. L’environnement OT de Monterrey a tenu, mais l’asymétrie de coût d’échec — les attaquants itèrent contre un modèle de langage quasi gratuit, les défenseurs opèrent des réseaux ICS contraints dont les fenêtres de patch se comptent en mois — est désormais visible à l’échelle industrielle.
Le troisième est la vélocité du double usage. Le même Anthropic qui pilote le programme défensif Project Glasswing (voir notre couverture précédente) a vu son modèle utilisé comme moteur central d’une attaque OT dans le même trimestre calendaire. Ce n’est pas le signe d’une absence de contrôles — la machinerie d’enforcement et de reporting d’Anthropic est précisément l’une des raisons pour lesquelles nous disposons de ce compte-rendu — mais l’écart se ferme entre les usages défensifs décrits par les chercheurs et les usages offensifs observés par les threat hunters.
Défenses
Il n’existe pas de mitigation unique pour « l’attaquant a un modèle qui code ». Le playbook défensif suggéré par le rapport Dragos et les recommandations ICS courantes :
-
Traitez la frontière IT-OT comme une cible primaire, pas secondaire. L’interface vNode de Monterrey était isolée d’internet mais accessible depuis un hôte bureautique courant. Inventoriez chaque appliance qui chevauche cette frontière (jump hosts, historians, passerelles IIoT, concentrateurs d’accès distant) et partez du principe qu’un opérateur assisté par IA peut les identifier en quelques heures de reconnaissance. Les Cross-Sector Cybersecurity Performance Goals de la CISA pour l’OT restent le bon point de départ.
-
Supprimez l’authentification mono-facteur sur les appliances adjacentes à l’OT. Le brute-force vNode n’a fonctionné que parce que la passerelle acceptait un couple identifiant/mot de passe sans second facteur ni limitation de débit. La documentation vendeur SCADA est désormais une donnée d’entraînement ; les credentials par défaut et les schémas d’auth faibles sont le fruit le plus bas pour un opérateur assisté par LLM.
-
Détectez sur des signatures de framework, pas des hashs. BACKUPOSINT a été synthétisé à la demande ; la prochaine variante aura un autre aspect. Les règles EDR/SIEM doivent se déclencher sur des clusters de comportement — énumération AD coordonnée + appels métadonnées cloud + pivot latéral mono-hôte — indépendants du binaire exact. Les détections ICS spécifiques de Dragos (généalogie de processus, baselines de protocoles OT) sont conçues pour ce régime.
-
Ajoutez la télémétrie sortante vers les APIs de LLM à votre supervision réseau. Les hôtes du réseau bureautique qui contactent soudainement
api.anthropic.com,api.openai.comou des gateways LLM tiers pendant une fenêtre d’intrusion sont un signal utile. À bloquer par défaut depuis les segments qui n’ont aucune raison métier légitime d’atteindre ces endpoints. -
Demandez à vos fournisseurs de modèles de publier leurs données de disruption. Anthropic comme OpenAI disposent de pipelines de détection d’abus qui signalent les activités suspectes ; leurs rapports publiés (rapports d’Anthropic, comptes-rendus d’OpenAI sur les opérations d’influence et cyber) font désormais partie de la boîte à outils défensive. Exigez de la précision — modèle, date, IOCs — quand vous contractez.
-
Faites un tabletop sur « exécutant IA, coordinateur humain ». Votre plan IR suppose probablement encore un humain devant chaque clavier. Déroulez le cas où 80 % du code post-compromis est généré par modèle et où l’opérateur agit en orchestrateur : qu’est-ce qui change en confinement, attribution, préservation de la preuve, notification au régulateur ?
-
Investissez la résilience en couche OT. Si votre réseau IT est compromis par un opérateur assisté par modèle, la propriété qui protège les habitants de Monterrey, c’est que l’environnement OT est défendable séparément — segmenté, supervisé, doté de procédures de safe-state. Investissez là. Une modification des conditions d’utilisation d’Anthropic ne rend pas votre historian plus difficile à atteindre.
Statut
| Élément | Référence | Date | Notes |
|---|---|---|---|
| Rapport Dragos | AI in the Breach | 2026-05-12 | Source primaire, 350 artefacts analysés |
| Fenêtre de campagne | Rapport Dragos | 2025-12 → 2026-02 | 9 entités gouvernementales mexicaines visées |
| Cible principale | Servicios de Agua y Drenaje de Monterrey | — | Service eau + assainissement, métropole de Monterrey |
| Framework récupéré | BACKUPOSINT v9.0 APEX PREDATOR | — | 17 000 LOC, 49 modules, écrit par Claude |
| Modèles impliqués | Claude (principal) + GPT-4.1 (analyse) | — | Attribution Dragos |
| Issue OT | Compromission OT échouée | — | Le brute-force vNode n’a pas franchi le palier |
| Couverture indépendante | SecurityWeek, Cybersecurity Dive, Infosecurity Magazine, Industrial Cyber, Small Wars Journal | À partir du 2026-05-12 | — |
| Réaction des éditeurs | Anthropic, OpenAI | 2026-05 | Les deux ont publié des éléments généraux sur la disruption d’abus ; pas de communication publique propre à l’incident au moment de la publication Dragos |
La lecture en une ligne — « les attaquants ont utilisé Claude » — sous-estime ce qui a changé. Monterrey est le premier cas publiquement documenté où un modèle de frontière fait l’ingénierie et un opérateur se contente d’orienter. À traiter comme modèle de menace des 12 à 24 prochains mois, pas comme cas exceptionnel.
Sources
- → https://www.dragos.com/blog/ai-assisted-ics-attack-water-utility
- → https://www.cybersecuritydive.com/news/anthropics-claude-compromise-mexican-water-utility/819710/
- → https://www.securityweek.com/claude-ai-guided-hackers-toward-ot-assets-during-water-utility-intrusion/
- → https://www.infosecurity-magazine.com/news/llm-critical-infrastructure/
- → https://industrialcyber.co/reports/dragos-details-ai-assisted-intrusion-targeting-mexican-water-utility-as-claude-openai-models-used-to-pursue-ot-access/
- → https://smallwarsjournal.com/2026/05/12/ai-cyberattack-critical-infrastructure-mexico-dragos/