Il Threat Research Team di Sysdig ha documentato quella che ritiene essere la prima operazione ransomware, guidata dall’inizio alla fine interamente da un Large Language Model (LLM). L’agente, battezzato JADEPUFFER, rappresenta una nuova categoria di minaccia definita Agentic Threat Actor (ATA), in cui l’intera catena di attacco viene gestita da un agente AI anziché da un operatore umano.
L’accesso iniziale è avvenuto sfruttando la vulnerabilità CVE-2025-3248 in Langflow, framework open source per lo sviluppo di applicazioni AI. Una volta compromesso il sistema, JADEPUFFER ha eseguito automaticamente attività di ricognizione, individuando API key, credenziali cloud, file di configurazione e database, per poi muoversi lateralmente verso un server di produzione che ospitava MySQL e Nacos.
Secondo i ricercatori, l’elemento più innovativo è la capacità dell’LLM di adattare il proprio comportamento in tempo reale. In un caso documentato, dopo un tentativo fallito di creare di un account amministratore, JADEPUFFER ha identificato autonomamente la causa dell’errore, modificato il payload e completato con successo l’operazione in soli 31 secondi. Analogamente, l’agente ha corretto automaticamente parser e comandi SQL in base alle risposte ricevute dai sistemi compromessi.
Una volta ottenuto il controllo dell’infrastruttura, JADEPUFFER ha cifrato oltre 1.300 configurazioni di Nacos, eliminato le tabelle originali e lasciato una nota di riscatto all’interno del database. Sebbene le vulnerabilità sfruttate fossero già note e corrette da tempo, Sysdig sottolinea come la novità risieda nella capacità dell’agente AI di concatenare autonomamente ricognizione, furto di credenziali, movimento laterale, persistenza ed estorsione senza richiedere competenze avanzate da parte di un operatore.
L’analisi evidenzia come la diffusione di agenti AI offensivi renda ancora più importante ridurre la superficie di attacco, applicare tempestivamente le patch ai servizi esposti, eliminare credenziali di default e rafforzare il rilevamento comportamentale delle attività anomale.
Per le organizzazioni, il caso evidenzia l’importanza di applicare tempestivamente le patch, non esporre servizi AI come Langflow a Internet, eliminare credenziali di default e rafforzare i sistemi di rilevamento comportamentale delle attività anomale.
https://www.sysdig.com/blog/jadepuffer-agentic-ransomware-for-automated-database-extortion





