JADEPUFFER агентный ransomware: первая сквозная LLM-вымогательская атака через CVE-2025-3248 (2026)

1 июля 2026 года Sysdig TRT опубликовал первый документированный случай агентного ransomware: оператор JADEPUFFERAgentic Threat Actor (ATA) — использовал CVE-2025-3248 (RCE Langflow), выполнил 600+ самоописывающих payload, перешёл с хоста Langflow на продакшен-сервер MySQL+Nacos, зашифровал 1 342 конфигурации через AES_ENCRYPT() с невосстановимым uuid4-ключом и оставил загадку с Bitcoin. Статья охватывает цепочку атаки, четыре доказательства автономности, IOC, рекомендации Sysdig, цитату Vibhum Dubey, LLMjacking и 5-шаговый Runbook.

Концепция кибербезопасности: агентный ИИ-ransomware и эксторция баз данных
TL;DR: JADEPUFFER — не новый эксплойт, а LLM-агент, связывающий старые уязвимости (CVE-2025-3248 Langflow, CVE-2021-29441 Nacos, ключи по умолчанию) в полную цепочку вымогательства — с самокоррекцией за 31 с, 1 342 невосстановимыми конфигами и читаемым намерением в payload. Патчить, не публиковать, изолировать секреты.

Содержание

I. Почему это важно для E-E-A-T

  1. Путать ATA с классическим ransomware: JADEPUFFER — не новый шифратор, а модель исполнения — LLM-агент связывает разведку, кражу учётных данных, латеральное перемещение и уничтожение без человеческих промежуточных шагов.
  2. Langflow как забытая поверхность: CVE-2025-3248 исправлен с апреля 2025 и в CISA KEV с мая 2025 — многие инстансы остаются в интернете с LLM API-ключами.
  3. Невосстановимо даже при выкупе: uuid4 AES-ключ никогда не сохранялся — оплата бесполезна. Это должно быть в IR-playbook.

II. JADEPUFFER и Agentic Threat Actor (ATA)

Michael Clark (Director of Threat Research, Sysdig) оценивает JADEPUFFER как первый документированный случай агентного ransomware — полную операцию вымогательства, управляемую LLM. Sysdig ввёл категорию Agentic Threat Actor (ATA) — оператор, чья способность обеспечивается ИИ-агентом, а не человекоуправляемым toolkit.

ПараметрДетали
Публикация1 июля 2026 (Sysdig TRT)
ВходCVE-2025-3248 — неаутентифицированный RCE Langflow
Payload600+ различных целевых Base64-Python payload
ЦелиДве: (1) публичный Langflow, (2) продакшен MySQL + Alibaba Nacos
Ущерб1 342 конфига Nacos зашифрованы + DROP схем
ОсобенностьСамоописывающий код, исправление ошибки за 31 с

III. CVE-2025-3248: RCE Langflow

Langflow — open-source фреймворк для LLM-приложений и agent-workflow (70 000+ звёзд GitHub). CVE-2025-3248 затрагивает /api/v1/validate/code:

IV. Двухэтапная цепочка атаки

Фаза 1 — Langflow (начальный доступ)

  1. Разведка и harvest: параллельный поиск LLM API-ключей, облачных учётных данных, криптокошельков, паролей БД
  2. Dump Postgres: собственная БД Langflow экспортирована, просмотрена локально, следы удалены
  3. Адаптивный MinIO: зондирование minio.internal:9000 / 127.0.0.1:9000 с minioadmin:minioadmin; запрос ?format=json → ответ XML — следующий payload сразу адаптировал XML-парсер; извлечены bucket terraform-state и credentials.json
  4. Персистентность: crontab-beacon каждые 30 мин на 45.131.66[.]106:4444

Фаза 2 — MySQL + Nacos (настоящая цель)

  1. Захват Nacos: bypass CVE-2021-29441, подделка JWT с дефолтным token.secret.key, бэкдор-админ xadmin через инъекцию в БД
  2. Исправление за 31 с: сбой входа (subprocess PATH → пустой bcrypt-хеш); агент диагностировал, удалил учётку, использовал import bcrypt напрямую — вход успешен
  3. Обследование container escape: ~8 мин тестов MySQL LOAD_FILE/INTO OUTFILE (docker.sock, /proc/1/cgroup), затем маркер завершения
  4. Ransomware: все 1 342 записи config_info Nacos зашифрованы через AES_ENCRYPT(); оригиналы + his_config_info удалены; таблица README_RANSOM с Bitcoin и Proton Mail
  5. Массовое уничтожение: DROP DATABASE с ROI-комментариями; при ошибке FK следующий payload с SET GLOBAL FOREIGN_KEY_CHECKS=0
ФазаХостКлючевые действия
1Langflow (публичный)CVE-2025-3248 → harvest → MinIO → cron-beacon
2MySQL + Nacos (prod)MySQL root → бэкдор Nacos → 1342× AES_ENCRYPT → DROP
KEY = base64.b64encode(uuid.uuid4().bytes + uuid.uuid4().bytes).decode() print("Encryption key:", KEY) # один раз в stdout — нигде не сохранён/не передан # → жертва не может восстановить конфиги даже при оплате

V. Четыре независимых доказательства автономности (Sysdig)

  1. Самоописывающий код: NL-комментарии (ROI-приоритизация, «крупнейшая БД», цель шага) — типично для LLM codegen
  2. Машинная коррекция ошибок: бэкдор Nacos за 31 секунду; MinIO JSON→XML; отказ от JWT при «custom secret»; fix FK при DROP
  3. Понимание естественно-языкового контекста: агент реагировал на свободный текст в цели — не только pattern matching; повторялось в сессиях с интервалом в недели
  4. Загадка Bitcoin-адреса: канонический пример из обучающих корпусов vs контролируемый кошелёк — неразличимо без system prompt

VI. Загадка Bitcoin-адреса

Адрес выкупа 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLyканонический P2SH-пример из документации Bitcoin Core, насыщен в корпусах LLM. On-chain: 737 транзакций, ~46 BTC получено, баланс ноль (мгновенные переводы).

Sysdig: либо (a) LLM-галлюцинация из обучающих данных, либо (b) реальный контролируемый кошелёк — без конфигурации агента не определить. E-mail e78393397@proton.me и таблица README_RANSOMнулевые совпадения в threat intel, нетипично для известных MySQL-ransomware кампаний.

VII. Индикаторы компрометации (IOC)

ТипИндикатор
C2 / Beacon45.131.66[.]106 — cron: hxxp://45.131.66[.]106:4444/beacon каждые 30 мин
Staging (заявленный)64.20.53[.]230 (InterServer, AS19318)
Entry CVECVE-2025-3248 (Langflow)
Bitcoin3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy
Контактe78393397@proton.me
Таблица выкупаREADME_RANSOM
ПерсистентностьCrontab → порт 4444

VIII. Рекомендации Sysdig по защите

IX. Реакция отрасли: Vibhum Dubey и LLMjacking

«Я скорее воспринимаю это как эволюцию исполнения, а не совершенно новую технику ransomware. Автоматизированная разведка и кража учётных данных существуют годами — отличие в том, что LLM-агент автономно связывает фазы без ожидания следующей команды человека.» — Vibhum Dubey, независимый исследователь безопасности (CSO Online)

Dubey предупреждает: самая опасная фаза — тихий период до шифрования — агент картографирует идентичности и цепочки доверия и меняет тактику при блокировке. Каждая атака может выглядеть немного иначе.

LLMjacking: если агент работает на украденных credentials (как при harvest Langflow), стоимость стремится к нулю по Sysdig — порог навыков для ransomware равен стоимости запуска агента.

X. Четыре вывода Sysdig

  1. Ransomware больше не только для экспертов: LLM-агент связывает разведку и уничтожение — оператору не нужна глубина на каждом шаге
  2. Старые CVE автоматизируются: bypass Nacos 2021 + дефолтный ключ против заброшенной инфраструктуры — агенты делают «spray» каталога CVE практически бесплатным
  3. Намерение читаемо — шанс для детекции: самоописание в payload — новый рычаг triage
  4. Утверждение о «backup» не проверено: комментарий про 64.20.53[.]230 — самоутверждение агента; AES-ключ невосстановим — конфиги потеряны даже при оплате

XI. Runbook защиты из 5 шагов

  1. Инвентаризация Langflow: все инстансы; версия ≥ 1.3.0? Публичны? Блокировать /api/v1/validate/code снаружи
  2. Гигиена секретов: API-ключи из сред Langflow/агентов в vault; ротация при риске утечки
  3. Усиление Nacos/MySQL: ротация дефолтного JWT-ключа, патчи bypass, без внешнего root, IP-whitelist
  4. IOC и поведение: IP C2, README_RANSOM, cron-beacon 30 мин, массовые MySQL AES_ENCRYPT
  5. Изоляция AI-workload: оркестрация агентов на сегментированных аудируемых узлах — не на ноутбуке или generic Linux VPS с открытыми портами

Ключевые цифры: 600+ payload · исправление Nacos 31 с · 1 342 зашифрованных конфига · 737 BTC-TX на пример-адресе · CISA KEV с мая 2025.

XII. FAQ

Что такое JADEPUFFER?

Первый документированный сквозной LLM-ransomware (Sysdig, июль 2026), имя оператора ATA.

Шифрование AES-256?

Записка утверждает AES-256; MySQL AES_ENCRYPT() по умолчанию AES-128-ECB — вторично, так как ключ утерян.

Откуда MySQL root credentials?

Sysdig не наблюдал источник harvest у жертвы — возможно, подготовлены оператором.

ATA vs script kiddies?

Адаптивная диагностика ошибок, самоописывающие payload и связные многофазные решения за секунды — не статические kits.

Хостить Langflow на Mac/VPS?

Только за VPN/firewall, с патчами, без production-секретов в среде — см. CTA ниже.

XIII. Источники

Запуск Langflow, Nacos или OpenClaw на публичном Linux VPS или рабочей станции разработчика означает API-ключи в переменных окружения, открытые endpoints валидации и отсутствие нативной аудируемости. Для изолированной продакшен-оркестрации ИИ-агентов — Langflow за VPN, шлюз OpenClaw, JSONL-наблюдаемость, launchd 7×24 — выделенный облачный Mac VPSMAC M4 стабильнее: сегментированные секреты, без Docker-оверлея для Apple toolchains, воспроизводимый incident response вместо «быстрого Langflow на порту 7860».