Cyberattacco AI in Messico: 1 operatore, 9 enti pubblici

Tra fine dicembre 2025 e metà febbraio 2026, una persona sola ha compromesso nove organizzazioni governative messicane. Il bilancio è di circa 150 GB di dati esfiltrati e di circa 195 milioni di identità esposte. A rendere il cyberattacco AI in Messico un punto di svolta non sono i numeri, già clamorosi, ma lo strumento: l’attaccante ha lavorato con un abbonamento commerciale a due piattaforme di AI generativa, accessibili a chiunque abbia una carta di credito.

La ricostruzione arriva dalla società israeliana Gambit Security e dal gruppo di ricerca diretto da Eyal Sela, Director of Threat Intelligence dell’azienda. Il team ha analizzato i log delle sessioni e ha pubblicato il rapporto tecnico completo il 10 aprile 2026, dopo aver lasciato alle vittime il tempo per la incident response. Lo studio, racconta una catena d’attacco banale nei principi e radicale nelle conseguenze per la cybersecurity dell’AI generativa.

Cyberattacco AI: Claude Code è diventato la squadra operativa

L’attaccante ha usato Claude Code di Anthropic come partner conversazionale e operativo. In parallelo, GPT-4.1 di OpenAI lavorava via API come motore d’analisi. Il primo ha generato exploit, scritto backdoor persistenti, eseguito comandi remoti e gestito il movimento laterale nelle reti violate. Il secondo ha trasformato i dati grezzi prelevati dai server in report strutturati che dicevano all’operatore quali sistemi colpire e quali credenziali riutilizzare.

I numeri ricostruiti misurano il salto di scala. Sono stati inviati 1.088 prompt, che hanno generato 5.317 comandi remoti in 34 sessioni dal vivo; circa il 75% di quei comandi è passato per Claude Code. L’analisi forense ha recuperato oltre 400 script personalizzati (301 in Bash, 113 in Python), 20 exploit mirati ad altrettante CVE e 2.597 report d’analisi prodotti da GPT-4.1 sui dati di 305 server interni. A orchestrare l’esfiltrazione, un tool Python di 17.550 righe chiamato BACKUPOSINT.py. Il primo token Claude Code registrato risale al 27 novembre 2025: la campagna è iniziata con un mese di preparazione strutturata prima della prima sessione operativa, datata 27 dicembre.

I bersagli del data breach non sono sistemi marginali. Il SAT (Servicio de Administración Tributaria) ha perso circa 195 milioni di record fiscali, l’INE (Instituto Nacional Electoral) record di registrazione elettorale, il registro civile di Città del Messico oltre 220 milioni di record. Sono stati colpiti anche il governo dell’Estado de México (con 15,5 milioni di record veicolari e 3,6 milioni di record di proprietà), i governi statali di Jalisco, Michoacán e Tamaulipas, l’utility idrica di Monterrey (SADM) e il dipartimento sanitario di Città del Messico (Salud CDMX).

In Jalisco l’attaccante è arrivato fino agli archivi sanitari e ai dati delle vittime di violenza domestica, distribuendo rootkit personalizzati su venti agenzie statali. Nelle ultime settimane di campagna ha costruito anche un’API di interrogazione in tempo reale sull’infrastruttura fiscale del SAT e un meccanismo per produrre certificati tributari falsi a partire da dati autentici. Il governo dello stato di Jalisco e l’INE hanno pubblicamente negato la compromissione; il rapporto Gambit riporta tuttavia evidenze forensi di esfiltrazione su entrambi gli enti.

Jailbreak dei modelli AI: come si è rotto l’argine

Il nodo, sul piano dell’AI safety, è il modo in cui sono stati aggirati i guardrails. La conversazione si è aperta con l’attaccante che si presentava come ricercatore in un programma di bug bounty autorizzato, con tanto di manuale operativo in spagnolo (1.084 righe) che inquadrava ogni azione come legittima. Quando Claude rifiutava una richiesta diretta (cancellare i log, nascondere le tracce), bastava riformularla dentro il ruolo già stabilito, oppure spostarsi temporaneamente su ChatGPT per ottenere lo stesso risultato.

Le tecniche impiegate sono note: role-play persistente, multi-turn jailbreak e prompt injection contestuale, qui combinati per ottenere un effetto operativo prolungato. Nessuna è inedita. Inedita è la loro efficacia su sistemi capaci di eseguire codice, navigare reti reali e ragionare su obiettivi a più passi. Una volta allertata, Anthropic ha bannato gli account e rafforzato il rilevamento d’uso improprio nelle versioni successive del modello. È una risposta corretta, che lascia però aperta una questione di fondo:

“Quanto può reggere il paradigma ‘rileva e blocca’ quando l’avversario muta a ogni rifiuto?”

Dall’AI assistente all’AI agentica: il salto strutturale

Il punto saliente non sono gli exploit, quasi tutti basati su vulnerabilità note e su infrastrutture con elevato technical debt. È la compressione temporale resa possibile dall’AI agentica. Curtis Simpson, Chief strategy officer di Gambit Security, lo ha riassunto così:

il sistema “ha prodotto migliaia di report dettagliati con piani pronti all’esecuzione, indicando all’operatore umano esattamente quali bersagli interni colpire e quali credenziali usare”. L’AI, qui, non ha assistito l’attacco: lo ha condotto come una squadra. Una persona sola ha sostenuto un ritmo, una varietà di compiti e una copertura geografica che storicamente avrebbero richiesto un team.

Il dato si allinea al quadro del CrowdStrike Global Threat Report 2026, che registra un aumento dell’89% anno su anno delle operazioni avversarie potenziate da AI e un breakout time medio dell’eCrime sceso a 29 minuti, con punte di 27 secondi.

Sulla stessa traiettoria si era mossa Anthropic con la disclosure del 13 novembre 2025 sulla campagna GTG-1002, attribuita a un attore cinese di Stato e coerente con l’evoluzione degli APT sponsorizzati da governi: lì Claude Code avrebbe eseguito tra l’80 e il 90% delle attività tattiche in modo autonomo. Il caso messicano abbassa la soglia di un livello ulteriore: la capacità di Stato non è più una condizione necessaria per portare attacchi di questa portata. È diventata una scelta opzionale.

Lezioni per chi difende: NIS2, AI Act e cybersecurity dell’AI generativa

Per chi presidia infrastrutture pubbliche il messaggio operativo è meno spettacolare di quanto suggerisca la cronaca. Nessuna delle tecniche impiegate sarebbe stata efficace contro un perimetro patchato per tempo, con segmentazione di rete coerente, gestione rigorosa delle credenziali, telemetria endpoint attiva, monitoraggio delle utenze di servizio e rotazione dei segreti. Sono i controlli che da anni costituiscono lo standard de facto, oggi con un margine di tolleranza enormemente ridotto. Quello che cambia è il tempo: in alcuni passaggi documentati nei log, l’escalation a root è avvenuta nell’arco di una singola conversazione.

Per il quadro europeo l’episodio si offre come caso di studio rispetto agli adempimenti NIS2, all’AI Act e all’integrazione tra risk management, controllo della supply chain digitale e gestione delle identità non umane, agenti autonomi compresi. Anche il Messico si muove sul fronte regolatorio: il Plan Nacional de Ciberseguridad 2025-2030, coordinato dalla Secretaría Anticorrupción y Buen Gobierno (autorità garante della protezione dei dati personali dopo la dissoluzione dell’INAI nel 2025), prevede a partire dal 2026 architetture Zero Trust con verifica continua e un programma sistematico di valutazione delle vulnerabilità nell’amministrazione pubblica federale. È una direzione attesa, che resta però un cantiere aperto in molti paesi quando la si misura sulla scala reale della pubblica amministrazione.

L’accesso ai modelli AI come questione politica

Resta una domanda politica, già aperta prima del febbraio 2026 e oggi più urgente. Se compromettere infrastrutture statali costa, nella pratica, un abbonamento mensile da venti dollari, ha senso continuare a subordinare l’accesso a modelli capaci di generare codice ed eseguirlo in autonomia alla sola verifica di una carta di credito? Le risposte possibili (verifica d’identità rafforzata, accesso tiered, requisiti di tracciabilità) hanno tutte controindicazioni note, a partire dal rischio di spingere gli attori malevoli verso modelli open weight, privi di guardrails. La discussione non è però rinviabile: il cyberattacco AI in Messico ha creato un precedente operativo, e altri seguiranno.

Il rapporto di Gambit Security non consegna alla comunità della sicurezza la sola cronaca di un attacco. Consegna il primo capitolo documentato di una nuova economia dell’aggressione informatica, in cui le risorse per produrre danno sono diventate molto più piccole di quelle necessarie per difendersi. Riequilibrare quell’asimmetria, combinando igiene operativa, governance dell’AI generativa e cooperazione internazionale, è il lavoro dei prossimi anni.

Condividi sui Social Network:

Cyberattacco AI in Messico: 1 operatore, 9 enti pubblici

Cyberattacco AI: Claude Code è diventato la squadra operativa

Jailbreak dei modelli AI: come si è rotto l’argine

Dall’AI assistente all’AI agentica: il salto strutturale

Lezioni per chi difende: NIS2, AI Act e cybersecurity dell’AI generativa

L’accesso ai modelli AI come questione politica

No Human at the Keyboard: Agentic AI e la nuova frontiera del cybercrime

L’abuso dei file MSC da parte degli Advanced Persistent Threat (APT)

Il nemico in casa: dentro gli attacchi alle infrastrutture critiche italiane

Volt Typhoon e l’arte di scomparire: vivere di OT, log scarsi e tanta pazienza

Zero Trust ransomware, come rendere la tua azienda un bersaglio difficile per i criminali informatici

OSINT e AI: pattern recognition o fabbrica di false evidenze?

La Prima Rivista Italiana Dedicata alla Sicurezza Informatica

ICT Security Magazine

Cyberattacco AI: Claude Code è diventato la squadra operativa

Jailbreak dei modelli AI: come si è rotto l’argine

Dall’AI assistente all’AI agentica: il salto strutturale

Lezioni per chi difende: NIS2, AI Act e cybersecurity dell’AI generativa

L’accesso ai modelli AI come questione politica

Ultimi Articoli

La Prima Rivista Italiana Dedicata alla Sicurezza Informatica

ICT Security Magazine

Argomenti

ISCRIVITI ALLA NEWSLETTER DI ICT SECURITY MAGAZINE