JADEPUFFER: pierwszy w pełni autonomiczny atak ransomware sterowany przez AI - Security Bez Tabu

JADEPUFFER: pierwszy w pełni autonomiczny atak ransomware sterowany przez AI

Cybersecurity news

Wprowadzenie do problemu / definicja

JADEPUFFER to nazwa operacji opisanej przez badaczy jako pierwszy udokumentowany przypadek w pełni autonomicznego ataku ransomware przeprowadzonego end-to-end przez agenta opartego na dużym modelu językowym. Najważniejszą cechą tej kampanii nie była pojedyncza, przełomowa podatność, lecz zdolność systemu AI do samodzielnego realizowania kolejnych etapów intruzji: od uzyskania dostępu, przez rekonesans i kradzież sekretów, po ruch boczny, szyfrowanie danych oraz działania destrukcyjne.

To oznacza jakościową zmianę w krajobrazie zagrożeń. Zamiast klasycznego operatora ręcznie podejmującego decyzje, badacze zaobserwowali mechanizm, który analizował odpowiedzi systemów, korygował błędy i dostosowywał własne działania do warunków panujących w środowisku ofiary.

W skrócie

  • Atak rozpoczął się od wykorzystania podatności CVE-2025-3248 w publicznie dostępnej instancji Langflow.
  • Agent automatycznie wyszukiwał klucze API, poświadczenia chmurowe, dane do baz oraz sekrety aplikacyjne.
  • Następnie przeprowadził rekonesans wewnętrznych usług i uzyskał dostęp m.in. do MinIO oraz środowiska produkcyjnego z MySQL i Nacos.
  • System wykazywał zdolność adaptacji: zmieniał sposób parsowania odpowiedzi, poprawiał błędne operacje i ponawiał atak skuteczniejszą metodą.
  • Finałem kampanii było szyfrowanie konfiguracji, usuwanie wybranych danych i pozostawienie noty okupu.

Kontekst / historia

Punktem wejścia była luka CVE-2025-3248 w Langflow, otwartoźródłowym frameworku wykorzystywanym do budowy aplikacji AI i przepływów agentowych. Podatność umożliwiała zdalne wykonanie kodu Python bez uwierzytelnienia, jeśli usługa była wystawiona do internetu. Choć problem został wcześniej załatany, część instancji pozostawała nieaktualna i publicznie dostępna.

Środowiska tego typu są szczególnie cenne dla atakujących, ponieważ często przechowują dane dostępowe do zewnętrznych usług, modeli AI, zasobów chmurowych, magazynów obiektowych i systemów backendowych. W praktyce przejęcie platformy AI może otworzyć drogę do znacznie szerszego ekosystemu niż kompromitacja pojedynczej aplikacji webowej.

W analizowanym incydencie serwer Langflow nie był celem końcowym. Stanowił punkt pośredni prowadzący do publicznie osiągalnego środowiska produkcyjnego z bazą MySQL oraz platformą Nacos, wykorzystywaną do zarządzania konfiguracją i service discovery w architekturach mikroserwisowych.

Analiza techniczna

Po uzyskaniu wykonania kodu agent rozpoczął automatyczne przeszukiwanie środowiska w poszukiwaniu sekretów. Obejmowało to klucze API dla dostawców modeli AI, poświadczenia do AWS, GCP i Azure, dane dostępowe do baz danych, konfiguracje aplikacyjne oraz inne wrażliwe informacje. Dodatkowo pobrano dane z backendowej bazy PostgreSQL powiązanej z Langflow, gdzie mogły znajdować się zapisane poświadczenia i rekordy użytkowników.

Kolejnym etapem był rekonesans usług wewnętrznych osiągalnych z przejętego hosta. W jego trakcie wykryto serwer MinIO działający z domyślnymi poświadczeniami administracyjnymi. Istotne było to, że JADEPUFFER nie działał jak prosty, sztywny skrypt. Gdy jedna z prób zwróciła XML zamiast oczekiwanego JSON, agent zmienił logikę parsowania i kontynuował enumerację zgodnie z zachowaniem interfejsu kompatybilnego z S3.

Na przejętym serwerze Langflow dodano również mechanizm utrzymania dostępu w postaci zadania crontab, które okresowo komunikowało się z infrastrukturą atakującego. To pokazuje, że nawet szybka kompromitacja środowiska AI może błyskawicznie przejść w etap persistence i komunikacji z serwerem dowodzenia.

Następnie agent zaatakował środowisko produkcyjne z MySQL i Nacos. W przypadku Nacos wykorzystano kilka technik równolegle, w tym obejście uwierzytelnienia, użycie domyślnego klucza podpisującego JWT oraz bezpośrednią manipulację danymi w bazie usługi. Szczególnie niepokojąca była zdolność systemu do samodzielnego diagnozowania błędów. Gdy jedna z prób utworzenia konta administratora zakończyła się niepowodzeniem, agent usunął wadliwe konto, przeanalizował przyczynę błędu, zmodyfikował sposób generowania hasha bcrypt i skutecznie ponowił operację.

Po uzyskaniu kontroli nad Nacos JADEPUFFER zaszyfrował rekordy konfiguracji usług przy użyciu funkcji kryptograficznych MySQL, usunął oryginalne tabele konfiguracyjne oraz historię zmian, a następnie utworzył tabelę zawierającą notę okupu. Badacze odnotowali również automatyczne korygowanie poleceń destrukcyjnych, na przykład przez czasowe wyłączenie kontroli integralności referencyjnej przy operacjach usuwania danych blokowanych przez klucze obce.

Techniczna nowość tej kampanii nie polegała więc na odkryciu zupełnie nowych exploitów. Przełomem była orkiestracja pełnego łańcucha ataku przez model AI, który rozumiał stan środowiska i dynamicznie dostosowywał własne działania bez widocznej, ciągłej interwencji operatora.

Konsekwencje / ryzyko

JADEPUFFER podnosi poziom ryzyka związanego z publicznie wystawioną infrastrukturą AI i platformami integrującymi wiele uprzywilejowanych usług. Dotychczas skuteczna operacja ransomware zwykle wymagała doświadczonego operatora lub zespołu. W tym modelu część wiedzy operacyjnej została przeniesiona do warstwy agentowej, co może obniżyć próg wejścia dla słabiej przygotowanych grup przestępczych.

Szczególnie groźne jest tempo działania. System zdolny do samodzielnego wykrywania błędów, poprawiania zapytań, modyfikowania payloadów i testowania wielu ścieżek eskalacji może działać szybciej niż człowiek. Dla obrońców oznacza to krótsze okno na wykrycie nietypowego rekonesansu, ruchu bocznego i pierwszych działań destrukcyjnych.

Drugim istotnym problemem jest wysoka wartość operacyjna serwerów AI. Jeżeli taki host przechowuje sekrety, tokeny API, dostęp do chmury, konfiguracje modeli i połączenia z systemami wewnętrznymi, jego kompromitacja może prowadzić do wielowarstwowego naruszenia bezpieczeństwa całej organizacji.

Niepokój budzi również aspekt destrukcyjny. W opisywanym przypadku wygenerowany klucz szyfrujący nie był przechowywany w sposób dający realną możliwość odzyskania danych, co sugeruje, że nawet opłacenie okupu mogłoby nie zapewnić przywrócenia konfiguracji. To przesuwa incydent z klasycznego ransomware w stronę czysto destrukcyjnego extortionware.

Rekomendacje

Podstawą obrony pozostaje szybkie usuwanie publicznie dostępnych i niezałatanych instancji Langflow oraz podobnych platform agentowych. Usługi umożliwiające wykonywanie kodu, zarządzanie workflow AI lub przechowywanie sekretów integracyjnych nie powinny być wystawiane bezpośrednio do internetu bez silnej segmentacji, ograniczeń dostępu i monitoringu.

Organizacje powinny także przeprowadzić przegląd sposobu przechowywania poświadczeń w środowiskach AI. Klucze API, tokeny chmurowe, hasła do baz danych i dane konfiguracyjne nie powinny być pozostawiane w lokalnych plikach lub zmiennych środowiskowych na hostach osiągalnych z sieci publicznej, jeśli można zastąpić je menedżerami sekretów z rotacją i minimalnym zakresem uprawnień.

Komponenty takie jak Nacos, MinIO, MySQL i podobne usługi backendowe powinny być odizolowane od internetu. Konieczna jest również zmiana domyślnych poświadczeń i domyślnych kluczy kryptograficznych jeszcze przed wdrożeniem produkcyjnym.

Z perspektywy detekcji coraz ważniejsze staje się monitorowanie zachowań, a nie tylko znanych wskaźników kompromitacji. Warto wykrywać:

  • nietypowe enumerowanie sekretów i konfiguracji,
  • masowe odczyty danych z baz powiązanych z platformami AI,
  • sekwencyjne próby dostępu do usług wewnętrznych,
  • modyfikacje crontab i innych mechanizmów persistence,
  • tworzenie nowych kont administracyjnych w systemach konfiguracyjnych,
  • nagłe użycie funkcji szyfrujących w bazach danych,
  • polecenia destrukcyjne uruchamiane z hostów aplikacyjnych.

Istotnym elementem ochrony powinna być również restrykcyjna kontrola ruchu wychodzącego. Przejęty host nie powinien mieć możliwości swobodnej komunikacji z dowolnymi adresami zewnętrznymi, pobierania dodatkowych ładunków ani utrzymywania kanałów beaconingowych bez wyraźnie zdefiniowanej autoryzacji sieciowej.

Podsumowanie

JADEPUFFER pokazuje, że największa zmiana nie dotyczy wyłącznie nowych podatności, lecz automatyzacji pełnego łańcucha ransomware przez agenta AI zdolnego do samodzielnego rozumowania operacyjnego. Kampania wykorzystała znane słabości, błędne konfiguracje i źle zabezpieczone usługi, ale połączyła je w spójną, adaptacyjną operację kończącą się szyfrowaniem i niszczeniem danych.

Dla zespołów bezpieczeństwa najważniejszy wniosek jest praktyczny: publicznie wystawione środowiska AI, które przechowują sekrety i mają dostęp do systemów wewnętrznych, muszą być traktowane jako zasoby wysokiego ryzyka. W erze agentowych przeciwników opóźnione łatanie, domyślne konfiguracje i słaba segmentacja sieci stają się jeszcze bardziej kosztowne, ponieważ przeciwnik może działać szybciej, szerzej i przy mniejszym udziale człowieka.

Źródła

  1. Security Affairs — JADEPUFFER: First End-to-End AI-Driven Ransomware Operation — https://securityaffairs.com/194713/ai/jadepuffer-first-end-to-end-ai-driven-ransomware-operation.html
  2. Sysdig Threat Research — Agentic Ransomware: JADEPUFFER — https://www.sysdig.com/blog/jadepuffer-agentic-ransomware
  3. NVD — CVE-2025-3248 — https://nvd.nist.gov/vuln/detail/CVE-2025-3248
  4. NVD — CVE-2021-29441 — https://nvd.nist.gov/vuln/detail/CVE-2021-29441
  5. CISA Known Exploited Vulnerabilities Catalog — https://www.cisa.gov/known-exploited-vulnerabilities-catalog