A kutatók szerint a JadePuffer nevű zsarolóvírus-művelet lehet az első dokumentált eset, amikor egy teljes ransomware-támadást egy nagy nyelvi modellre (LLM) épülő autonóm AI-ügynök hajtott végre. A felhőbiztonsági megoldásokat fejlesztő Sysdig elemzése alapján a JadePuffer a teljes támadási lánc során mesterséges intelligenciát alkalmazott: az autonóm ügynök felderítést végzett a célrendszeren, hitelesítő adatokat szerzett meg, oldalirányú mozgást hajtott végre, biztosította a tartós jelenlétet, jogosultságot emelt, végül pedig titkosította az áldozat adatait.
A kutatók kiemelik, hogy az AI-ügynök működése számos ponton emberi operátoréhoz hasonlított. A támadás során valós időben alkalmazkodott a felmerülő hibákhoz, a sikertelen lépéseket módosított paraméterekkel újrapróbálta, és képes volt önállóan finomítani a végrehajtási logikát. A Sysdig beszámolója szerint egy esetben mindössze 31 másodperc telt el egy sikertelen bejelentkezési kísérlet és a működő megoldás megtalálása között.
A JadePuffer első hozzáférését a CVE-2025-3248-as sérülékenység kihasználásával szerezte meg. Ez egy hitelesítés nélküli távoli kódfuttatást (Remote Code Execution – RCE) lehetővé tevő hiba a Langflow nevű, nyílt forráskódú keretrendszerben, amelyet széles körben használnak LLM-alapú alkalmazások fejlesztésére. Miután a támadó távoli kódfuttatási jogosultságot szerzett, az AI-ügynök kinyerte a Langflow PostgreSQL adatbázisának tartalmát, összegyűjtötte a rendszerrel kapcsolatos információkat, átvizsgálta a környezeti változókat és az érzékeny fájlokat, hitelesítő adatokat gyűjtött, valamint feltérképezte a MinIO objektumtárolót.
A JadePuffer ezt követően tartós jelenlétet alakított ki a Langflow kiszolgálón egy cron feladat telepítésével, amelyet úgy konfigurált, hogy 30 percenként kapcsolatot létesítsen a támadó infrastruktúrájával. A kompromittált Langflow környezetből a támadó ezután oldalirányú mozgással elérte az Alibaba Nacos (Naming and Configuration Service) szolgáltatást futtató éles MySQL-kiszolgálót. Ehhez root jogosultságú hitelesítő adatokat használt, amelyek eredetét a Sysdig elemzői nem tudták egyértelműen meghatározni.
A Nacos ellen több különböző támadási kísérlet is történt, köztük egy hitelesítés megkerülését lehetővé tevő hiba kihasználása, ami jogosulatlanul rendszergazdai fiókok létrehozását teszi lehetővé.
Ezt követően az AI-ügynök konténerből történő kitörési lehetőségeket keresett, majd telepítette a zsarolóvírus komponenst. A kutatók megállapításai szerint a JadePuffer összesen 1342 Nacos szolgáltatáskonfigurációs elemet titkosított, majd törölte azok eredeti példányait.
A zsarolóüzenet szerint az adatok AES-256 algoritmussal kerültek titkosításra, azonban a kutatók ezt túlzó állításnak tartják. Véleményük szerint sokkal valószínűbb, hogy a támadók az alacsonyabb biztonsági szintet képviselő AES-128-ECB titkosítást alkalmazták. A Sysdig azt is megállapította, hogy a titkosítási kulcsot a rendszer véletlenszerűen generálta, azonban azt sem nem tárolta, sem nem továbbította a támadó infrastruktúrájára.
Érdekes részlet, hogy a váltságdíj üzenetben szereplő Bitcoin-cím egy, a nyilvános dokumentációkban gyakran példaként használt cím volt. A kutatók szerint ez arra utalhat, hogy az LLM a tanítóadatokból reprodukálta ezt az értéket, nem pedig egy valós támadói pénztárcacímet használt.
Számos további jel is arra utalt, hogy a támadást mesterséges intelligencia vezérelte. Az elkészített kódban részletes, természetes nyelven írt megjegyzések magyarázták az egyes műveletek célját és logikáját, miközben a támadás rendkívül gyors iterációkban reagált a konkrét hibákra.
A Sysdig végkövetkeztetése szerint a JadePuffer megjelenése azt jelzi, hogy megérkezett az úgynevezett „agentic threat actorok” (ATA-k), vagyis autonóm AI-alapú támadók korszaka. Az ilyen rendszerek jelentősen csökkenthetik a magas szintű technikai szakértelem szükségességét, így a jövőben a súlyos kibertámadások végrehajtása szélesebb kör számára is elérhetővé válik.
