O operațiune ransomware denumită JADEPUFFER a folosit un agent AI pentru orchestrarea autonomă a tuturor etapelor de atac, de la acces inițial până la criptarea datelor.
Atacul este evaluat ca fiind primul incident ransomware „agentic” documentat. Deși nu a introdus tehnici inovatoare, atacul demonstrează că un agent AI poate executa independent întregul lanț de compromitere.
Un raport al companie de securitate în cloud Sysdig arată că JADEPUFFER a obținut accesul inițial exploatând CVE-2025-3248, o vulnerabilitate critică ce permite execuția de cod la distanță (RCE) într-o instanță Langflow expusă la internet.
Langflow este un framework open-source pentru construirea de aplicații bazate pe LLM, iar serverele sale sunt adesea configurate rapid fără controale de rețea, stocând frecvent chei API ale furnizorilor de inteligență artificială și credențiale cloud.
După exploatarea vulnerabilității, agentul AI a putut rula cod Python arbitrar pe gazda compromisă, permițând enumerarea proceselor, a interfețelor de rețea, și extragerea de chei API pentru diverși furnizori de LLM (OpenAI, Anthropic, DeepSeek, Gemini), credențiale cloud (inclusiv pentru Alibaba, Tencent, Huawei, AWS, GCP, Azure), portofele de criptomonede, și de baze de date.
Experții au observat că atacatorul a furat și conținutul bazei de date Postgres a Langflow, și a scanat spațiul intern de adrese, identificând servicii precum MinIO, pe care l-a enumerat folosind credențiale implicite.
Conform raportului Sysdig, ținta principală a atacului a fost un server de producție separat, expus la internet, ce rula o bază de date MySQL și serviciul Nacos de la Alibaba pentru configurare descoperirea serviciilor și gestionarea configurațiilor.
Agentul s-a conectat la portul MySQL public folosind credențiale cu permisiuni root a căror origine este necunoscută. Ulterior, a atacat Nacos prin multipli vectori:
- exploatarea vulnerabilității CVE-2021-29441 ce permite evitarea autentificării
- falsificarea unui token JWT folosind cheia de semnătură implicită documentată public încă din 2020
- inserarea unui cont de administrator backdoor direct în baza de date Nacos
Ransomware și distrugerea datelor
În etapa finală a atacului, JADEPUFFER a criptat 1.342 de elemente de configurare Nacos folosind folosind funcția AES_ENCRYPT() din MySQL, a șters tabelul original ce stochează data de configurare, setări, și detalii de rutare pentru microservicii, și a creat un tabel nou cu detalii pentru extorcare (mesajul de răscumparare, adresă Bitcoin pentru plată, și o adresă de contact Proton Mail).
Sysdig spune că cheia de criptare a fost generată aleatoriu și afișată o singură dată în standard output, dar niciodată stocată sau transmisă. Prin urmare, chiar dacă victima ar plăti răscumpărarea, recuperarea datelor este tehnic imposibilă.
De asemenea, agentul a șters scheme întregi de baze de date, justificând acțiunea prin comentarii în cod precum „baze de date cu ROI ridicat de eliminat (date deja salvate pe 64.20.53[.]230)”, o afirmație narativă a agentului, neverificată independent.
Atacul condus de un LLM
Sysdig a identificat patru tipuri indicii ce susțin concluzia că atacul a fost orchestrat de un agent AI, și nu de un operator uman.
Primul este codul „auto-narativ”: payload-urile conțin comentarii în limbaj natural care explică raționamentul, prioritizarea țintelor și scopul fiecărei acțiuni, un comportament tipic generării de cod de către LLM, nu al operatorilor umani.
Al doilea este viteza de corectare a erorilor: într-o secvență documentată, agentul a încercat să creeze un cont, a eșuat la autentificare, a diagnosticat cauza, a șters contul, a regenerat hash-ul corect și a reușit autentificarea în doar 31 de secunde.
Această viteză și specificitatea diagnosticului depășesc capacitatea reacției umane într-un interval atât de scurt.
Al treilea indicator este capacitatea agentului de a înțelege contextul în limbaj natural prezent pe țintă și de a acționa în consecință, nu prin simplă potrivire de tipare.
Al patrulea se referă la adresa Bitcoin utilizată (3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy), care este un exemplu canonic din documentația dezvoltatorilor Bitcoin, prezent în conținutul de antrenament ale LLM-urilor; există posibilitatea ca agentul să o fi „halucinat” autonom, deși nu poate fi exclusă nici configurația intenționată de către un operator.
Atacul JADEPUFFER arată că ransomware-ul nu mai necesită un operator uman cu expertiză profundă în fiecare etapă a intruziunii. Un agent LLM poate prelua toate etapele, de la acces inițial până la persistență, furtul de date, și distrugerea lor, reducând semnificativ pragul de competențe necesare pentru a lansa astfel de campanii.
Recomandări de protecție
Specialiștii Sysdig recomandă actualizarea imediată a instanțelor Langflow la o versiune care remediază CVE-2025-3248 și evitarea expunerii la internet a endpoint-urilor de validare a codului.
Serverele de orchestrare AI nu trebuie să ruleze cu chei API sau credențiale cloud în mediul lor de execuție; acestea trebuie izolate într-un manager de secrete. Pentru Nacos, este esențială schimbarea cheii implicite, actualizarea la o versiune care impune o cheie personalizată și evitarea expunerii serviciului la internet.
De asemenea, ar trebui eliminat accesul Nacos la bazele de date cu permisiuni de root. Administratorii trebuie să aplice controale de egress pentru a împiedica un host compromis să comunice cu infrastructura arbitrară de comandă și control.





