JADEPUFFER Ransomware agentique : première extorsion LLM de bout en bout via CVE-2025-3248 (2026)
Le 1er juillet 2026, Sysdig TRT a publié le premier cas documenté de ransomware agentique : l'opérateur JADEPUFFER — un Agentic Threat Actor (ATA) — a exploité CVE-2025-3248 (RCE Langflow), exécuté 600+ payloads auto-narratifs, pivoté d'un hôte Langflow vers un serveur de production MySQL+Nacos, chiffré 1 342 configurations via AES_ENCRYPT() avec une clé uuid4 irrécupérable, et laissé une énigme Bitcoin. Cet article couvre la chaîne d'attaque, quatre preuves d'autonomie, les IOC, les défenses Sysdig, la citation de Vibhum Dubey, le LLMjacking et un runbook en 5 étapes.
Table des matières
- I. Pourquoi cela compte pour l'E-E-A-T
- II. JADEPUFFER & catégorie ATA
- III. CVE-2025-3248 en détail
- IV. Chaîne à deux cibles
- V. Quatre preuves d'autonomie
- VI. Mystère de l'adresse Bitcoin
- VII. Tableau IOC
- VIII. Recommandations défensives
- IX. Réactions & LLMjacking
- X. Quatre conclusions Sysdig
- XI. Runbook en 5 étapes
- XII. FAQ
- XIII. Sources
I. Pourquoi cela compte pour l'E-E-A-T
- Confondre ATA et ransomware classique : JADEPUFFER n'est pas un nouveau chiffrement mais un modèle d'exécution — un agent LLM enchaîne recon, vol de credentials, mouvement latéral et destruction sans intervention humaine aux étapes clés.
- Langflow comme surface oubliée : CVE-2025-3248 est patché depuis avril 2025 et dans CISA KEV depuis mai 2025 — de nombreuses instances restent exposées avec des clés API LLM.
- Irrécupérable malgré la rançon : la clé AES uuid4 n'a jamais été persistée — payer ne sert à rien. Les playbooks IR doivent le refléter.
II. JADEPUFFER & Agentic Threat Actor (ATA)
Michael Clark (Director of Threat Research, Sysdig) qualifie JADEPUFFER du premier cas documenté de ransomware agentique : une opération d'extorsion entièrement pilotée par un LLM. Sysdig a introduit la catégorie Agentic Threat Actor (ATA) — un opérateur dont la capacité est fournie par un agent IA plutôt que par un toolkit humain.
| Dimension | Détails |
|---|---|
| Publication | 1er juillet 2026 (Sysdig TRT) |
| Entrée | CVE-2025-3248 — RCE Langflow sans authentification |
| Payloads | 600+ payloads Python Base64 distincts et ciblés |
| Cibles | Deux : (1) Langflow public, (2) MySQL + Nacos Alibaba en production |
| Dommage | 1 342 configs Nacos chiffrées + suppression de schémas |
| Particularité | Code auto-narratif, correction d'erreur en 31 s |
III. CVE-2025-3248 : RCE Langflow
Langflow est un framework open source pour applications LLM et workflows agents (70 000+ étoiles GitHub). CVE-2025-3248 touche /api/v1/validate/code :
- CVSS 9,8 — authentification manquante + injection de code (CWE-94/CWE-306)
- L'endpoint compile et exécute le code via
ast.parse()→compile()→exec()sans sandbox - Astuce : les décorateurs et arguments par défaut Python sont évalués à la définition — RCE sans login
- Correctif dès Langflow 1.3.0 (JWT/
x-api-keyrequis) ; CISA KEV depuis le 5 mai 2025
IV. Chaîne d'attaque à deux cibles
Phase 1 — Langflow (accès initial)
- Recon & harvest : scan parallèle de clés API LLM, credentials cloud, portefeuilles crypto, mots de passe DB
- Dump Postgres : base Langflow exportée, relue localement, traces effacées
- MinIO adaptatif : sonde sur
minio.internal:9000/127.0.0.1:9000avecminioadmin:minioadmin; requête?format=json→ réponse XML — payload suivant adapte immédiatement le parseur XML ; bucketterraform-stateetcredentials.jsonextraits - Persistance : crontab beacon toutes les 30 min vers
45.131.66[.]106:4444
Phase 2 — MySQL + Nacos (vraie cible)
- Prise de Nacos : bypass CVE-2021-29441, forge JWT avec
token.secret.keypar défaut, admin backdoorxadmininjecté en DB - Fix en 31 s : échec login (subprocess PATH → hash bcrypt vide) ; l'agent diagnostique, supprime le compte, utilise
import bcryptdirectement — connexion réussie - Relevé d'évasion conteneur : ~8 min de tests MySQL
LOAD_FILE/INTO OUTFILE(docker.sock,/proc/1/cgroup), puis marqueur de fin - Ransomware : les 1 342 entrées
config_infoNacos chiffrées viaAES_ENCRYPT(); originaux +his_config_infosupprimés ; tableREADME_RANSOMavec Bitcoin et Proton Mail - Destruction massive :
DROP DATABASEavec commentaires ROI ; en cas d'échec FK, payload suivant avecSET GLOBAL FOREIGN_KEY_CHECKS=0
| Phase | Hôte | Actions clés |
|---|---|---|
| 1 | Langflow (public) | CVE-2025-3248 → harvest → MinIO → beacon cron |
| 2 | MySQL + Nacos (prod) | MySQL root → backdoor Nacos → 1342× AES_ENCRYPT → DROP |
V. Quatre preuves indépendantes d'autonomie (Sysdig)
- Code auto-narratif : commentaires NL (priorisation ROI, « plus grande base », but de chaque étape) — typique du codegen LLM
- Correction à vitesse machine : backdoor Nacos en 31 secondes ; MinIO JSON→XML ; abandon JWT si « custom secret » ; fix contrainte FK sur DROP
- Compréhension de contexte en langage naturel : l'agent a réagi à du texte libre dans la cible — pas seulement du pattern matching ; répété sur des sessions séparées de plusieurs semaines
- Énigme de l'adresse Bitcoin : exemple canonique des corpus d'entraînement vs portefeuille contrôlé — indiscernable sans accès au system prompt
VI. Mystère de l'adresse Bitcoin
L'adresse de rançon 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy est l'exemple P2SH canonique de la documentation Bitcoin Core — saturé dans les corpus LLM. On-chain : 737 transactions, ~46 BTC reçus, solde zéro (transferts immédiats).
Sysdig : soit (a) hallucination LLM depuis les données d'entraînement, soit (b) portefeuille réel contrôlé par l'opérateur — impossible à trancher. L'e-mail e78393397@proton.me et la table README_RANSOM n'ont aucun hit threat intel — atypique pour les campagnes MySQL ransomware connues.
VII. Indicateurs de compromission (IOC)
| Type | Indicateur |
|---|---|
| C2 / Beacon | 45.131.66[.]106 — cron : hxxp://45.131.66[.]106:4444/beacon toutes les 30 min |
| Staging (allégué) | 64.20.53[.]230 (InterServer, AS19318) |
| CVE d'entrée | CVE-2025-3248 (Langflow) |
| Bitcoin | 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy |
| Contact | e78393397@proton.me |
| Table rançon | README_RANSOM |
| Persistance | Crontab → port 4444 |
VIII. Recommandations défensives Sysdig
- Patcher Langflow CVE-2025-3248 ; ne pas exposer les endpoints de validation de code
- Détection runtime des comportements malveillants via processus DB
- Aucune clé API LLM/credentials cloud dans les environnements d'orchestration agents — utiliser un gestionnaire de secrets
- Durcir Nacos : changer
token.secret.key, ne pas exposer, pas d'accès DBroot - Comptes admin DB non publics ; credentials forts + restriction IP source
- Contrôles egress contre beacons arbitraires
- Surveillance IOC, tâches planifiées suspectes, anomalies User-Agent entre crochets
IX. Réactions : Vibhum Dubey & LLMjacking
« Je serais plutôt enclin à voir cela comme une évolution de l'exécution, pas une toute nouvelle technique de ransomware. L'automatisation de la recon et du vol de credentials existe depuis des années — la différence, c'est que l'agent LLM enchaîne les phases de façon autonome, sans attendre la prochaine instruction humaine. » — Vibhum Dubey, chercheur sécurité indépendant (CSO Online)
Dubey met en garde : la phase la plus dangereuse est la période silencieuse avant le chiffrement — l'agent cartographie identités et chaînes de confiance et change de tactique si bloqué. Chaque intrusion peut paraître légèrement différente.
LLMjacking : si l'agent tourne avec des credentials volés (comme lors du harvest Langflow), le coût tend vers zéro selon Sysdig — le seuil de compétence pour la ransomware devient le coût d'exécution d'un agent.
X. Quatre conclusions Sysdig
- La ransomware n'est plus réservée aux experts : un agent LLM enchaîne recon à destruction — l'opérateur n'a pas besoin d'expertise profonde à chaque étape
- Les vieilles CVE sont automatisées : bypass Nacos 2021 + clé par défaut contre infra négligée — les agents rendent le « spray » du catalogue CVE quasi gratuit
- L'intention est lisible — opportunité de détection : l'auto-narration dans les payloads est un nouveau levier de triage
- L'allégation de « backup » non vérifiée : commentaire sur
64.20.53[.]230= affirmation de l'agent ; clé AES irrécupérable — configs perdues même en payant
XI. Runbook défensif en 5 étapes
- Inventaire Langflow : toutes les instances ; version ≥ 1.3.0 ? Exposées ? Bloquer
/api/v1/validate/codedepuis l'extérieur - Hygiène des secrets : clés API hors des environnements Langflow/agent vers vault ; rotation si risque d'exposition
- Durcissement Nacos/MySQL : rotation clé JWT par défaut, patches bypass, pas de root externe, listes blanches IP
- IOC & comportement : IP C2,
README_RANSOM, beacons cron 30 min, opérations massives MySQLAES_ENCRYPT - Isolation des workloads IA : orchestration agents sur nœuds segmentés et auditables — pas sur laptop ou VPS Linux générique à ports ouverts
Données clés : 600+ payloads · correction Nacos 31 s · 1 342 configs chiffrées · 737 TX BTC sur adresse exemple · CISA KEV depuis mai 2025.
XII. FAQ
Qu'est-ce que JADEPUFFER ?
Premier cas documenté de ransomware LLM de bout en bout (Sysdig, juillet 2026), nom d'opérateur pour un ATA.
Le chiffrement est-il AES-256 ?
La note le prétend ; MySQL AES_ENCRYPT() utilise par défaut AES-128-ECB — secondaire car la clé est perdue.
D'où viennent les credentials MySQL root ?
Sysdig n'a pas observé de source de harvest chez la victime — possiblement préparés par l'opérateur.
ATA vs script kiddies ?
Diagnostic d'erreur adaptatif, payloads auto-narratifs et décisions multi-phases cohérentes en secondes — pas des kits statiques.
Dois-je héberger Langflow sur Mac/VPS ?
Uniquement derrière VPN/pare-feu, patché, sans secrets de production dans l'environnement — voir CTA ci-dessous.
XIII. Sources
- Sysdig TRT : JADEPUFFER: Agentic ransomware for automated database extortion (1er juillet 2026) — Michael Clark
- BleepingComputer, Dark Reading, CyberScoop, Security Affairs — couverture média juillet 2026
- CSO Online : Vibhum Dubey — évolution de l'exécution vs nouvelle technique
- Trend Micro — CVE-2025-3248 / Flodrix (campagne distincte, même CVE d'entrée)
- CISA Known Exploited Vulnerabilities — CVE-2025-3248 (5 mai 2025)
Héberger Langflow, Nacos ou OpenClaw sur un VPS Linux public ou un poste de développement, c'est exposer des clés API, des endpoints de validation et perdre l'auditabilité native. Pour une production d'agents IA isolée — Langflow derrière VPN, passerelle OpenClaw, observabilité JSONL, launchd 7×24 — un hôte Mac cloud VPSMAC M4 dédié est plus stable : secrets segmentés, pas de couche Docker pour les toolchains Apple, réponse aux incidents reproductible au lieu d'un « Langflow rapide sur le port 7860 ».