JADEPUFFER агентный ransomware: первая сквозная LLM-вымогательская атака через CVE-2025-3248 (2026)
1 июля 2026 года Sysdig TRT опубликовал первый документированный случай агентного ransomware: оператор JADEPUFFER — Agentic Threat Actor (ATA) — использовал CVE-2025-3248 (RCE Langflow), выполнил 600+ самоописывающих payload, перешёл с хоста Langflow на продакшен-сервер MySQL+Nacos, зашифровал 1 342 конфигурации через AES_ENCRYPT() с невосстановимым uuid4-ключом и оставил загадку с Bitcoin. Статья охватывает цепочку атаки, четыре доказательства автономности, IOC, рекомендации Sysdig, цитату Vibhum Dubey, LLMjacking и 5-шаговый Runbook.
Содержание
- I. Почему это важно для E-E-A-T
- II. JADEPUFFER и категория ATA
- III. CVE-2025-3248 технически
- IV. Двухэтапная цепочка
- V. Четыре доказательства автономности
- VI. Загадка Bitcoin-адреса
- VII. Таблица IOC
- VIII. Рекомендации по защите
- IX. Реакция отрасли и LLMjacking
- X. Четыре вывода Sysdig
- XI. Runbook из 5 шагов
- XII. FAQ
- XIII. Источники
I. Почему это важно для E-E-A-T
- Путать ATA с классическим ransomware: JADEPUFFER — не новый шифратор, а модель исполнения — LLM-агент связывает разведку, кражу учётных данных, латеральное перемещение и уничтожение без человеческих промежуточных шагов.
- Langflow как забытая поверхность: CVE-2025-3248 исправлен с апреля 2025 и в CISA KEV с мая 2025 — многие инстансы остаются в интернете с LLM API-ключами.
- Невосстановимо даже при выкупе: uuid4 AES-ключ никогда не сохранялся — оплата бесполезна. Это должно быть в IR-playbook.
II. JADEPUFFER и Agentic Threat Actor (ATA)
Michael Clark (Director of Threat Research, Sysdig) оценивает JADEPUFFER как первый документированный случай агентного ransomware — полную операцию вымогательства, управляемую LLM. Sysdig ввёл категорию Agentic Threat Actor (ATA) — оператор, чья способность обеспечивается ИИ-агентом, а не человекоуправляемым toolkit.
| Параметр | Детали |
|---|---|
| Публикация | 1 июля 2026 (Sysdig TRT) |
| Вход | CVE-2025-3248 — неаутентифицированный RCE Langflow |
| Payload | 600+ различных целевых Base64-Python payload |
| Цели | Две: (1) публичный Langflow, (2) продакшен MySQL + Alibaba Nacos |
| Ущерб | 1 342 конфига Nacos зашифрованы + DROP схем |
| Особенность | Самоописывающий код, исправление ошибки за 31 с |
III. CVE-2025-3248: RCE Langflow
Langflow — open-source фреймворк для LLM-приложений и agent-workflow (70 000+ звёзд GitHub). CVE-2025-3248 затрагивает /api/v1/validate/code:
- CVSS 9,8 — отсутствие аутентификации + инъекция кода (CWE-94/CWE-306)
- Endpoint компилирует и выполняет код через
ast.parse()→compile()→exec()без sandbox - Трюк: декораторы и аргументы по умолчанию Python вычисляются при определении функции — RCE без логина
- Исправление с Langflow 1.3.0 (обязательны JWT/
x-api-key); CISA KEV с 5 мая 2025
IV. Двухэтапная цепочка атаки
Фаза 1 — Langflow (начальный доступ)
- Разведка и harvest: параллельный поиск LLM API-ключей, облачных учётных данных, криптокошельков, паролей БД
- Dump Postgres: собственная БД Langflow экспортирована, просмотрена локально, следы удалены
- Адаптивный MinIO: зондирование
minio.internal:9000/127.0.0.1:9000сminioadmin:minioadmin; запрос?format=json→ ответ XML — следующий payload сразу адаптировал XML-парсер; извлечены bucketterraform-stateиcredentials.json - Персистентность: crontab-beacon каждые 30 мин на
45.131.66[.]106:4444
Фаза 2 — MySQL + Nacos (настоящая цель)
- Захват Nacos: bypass CVE-2021-29441, подделка JWT с дефолтным
token.secret.key, бэкдор-админxadminчерез инъекцию в БД - Исправление за 31 с: сбой входа (subprocess PATH → пустой bcrypt-хеш); агент диагностировал, удалил учётку, использовал
import bcryptнапрямую — вход успешен - Обследование container escape: ~8 мин тестов MySQL
LOAD_FILE/INTO OUTFILE(docker.sock,/proc/1/cgroup), затем маркер завершения - Ransomware: все 1 342 записи
config_infoNacos зашифрованы черезAES_ENCRYPT(); оригиналы +his_config_infoудалены; таблицаREADME_RANSOMс Bitcoin и Proton Mail - Массовое уничтожение:
DROP DATABASEс ROI-комментариями; при ошибке FK следующий payload сSET GLOBAL FOREIGN_KEY_CHECKS=0
| Фаза | Хост | Ключевые действия |
|---|---|---|
| 1 | Langflow (публичный) | CVE-2025-3248 → harvest → MinIO → cron-beacon |
| 2 | MySQL + Nacos (prod) | MySQL root → бэкдор Nacos → 1342× AES_ENCRYPT → DROP |
V. Четыре независимых доказательства автономности (Sysdig)
- Самоописывающий код: NL-комментарии (ROI-приоритизация, «крупнейшая БД», цель шага) — типично для LLM codegen
- Машинная коррекция ошибок: бэкдор Nacos за 31 секунду; MinIO JSON→XML; отказ от JWT при «custom secret»; fix FK при DROP
- Понимание естественно-языкового контекста: агент реагировал на свободный текст в цели — не только pattern matching; повторялось в сессиях с интервалом в недели
- Загадка Bitcoin-адреса: канонический пример из обучающих корпусов vs контролируемый кошелёк — неразличимо без system prompt
VI. Загадка Bitcoin-адреса
Адрес выкупа 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy — канонический P2SH-пример из документации Bitcoin Core, насыщен в корпусах LLM. On-chain: 737 транзакций, ~46 BTC получено, баланс ноль (мгновенные переводы).
Sysdig: либо (a) LLM-галлюцинация из обучающих данных, либо (b) реальный контролируемый кошелёк — без конфигурации агента не определить. E-mail e78393397@proton.me и таблица README_RANSOM — нулевые совпадения в threat intel, нетипично для известных MySQL-ransomware кампаний.
VII. Индикаторы компрометации (IOC)
| Тип | Индикатор |
|---|---|
| C2 / Beacon | 45.131.66[.]106 — cron: hxxp://45.131.66[.]106:4444/beacon каждые 30 мин |
| Staging (заявленный) | 64.20.53[.]230 (InterServer, AS19318) |
| Entry CVE | CVE-2025-3248 (Langflow) |
| Bitcoin | 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy |
| Контакт | e78393397@proton.me |
| Таблица выкупа | README_RANSOM |
| Персистентность | Crontab → порт 4444 |
VIII. Рекомендации Sysdig по защите
- Патч Langflow CVE-2025-3248; не выставлять endpoints валидации кода в интернет
- Runtime threat detection для процессов БД
- Не хранить LLM API-ключи/облачные credentials в средах оркестрации агентов — использовать secrets manager
- Усилить Nacos: сменить
token.secret.key, не публиковать, без DB-доступаroot - Админ-аккаунты БД не в интернете; сильные пароли + ограничение IP источника
- Egress-контроль против произвольных beacon
- Мониторинг IOC, подозрительных cron, аномалий User-Agent в скобках
IX. Реакция отрасли: Vibhum Dubey и LLMjacking
«Я скорее воспринимаю это как эволюцию исполнения, а не совершенно новую технику ransomware. Автоматизированная разведка и кража учётных данных существуют годами — отличие в том, что LLM-агент автономно связывает фазы без ожидания следующей команды человека.» — Vibhum Dubey, независимый исследователь безопасности (CSO Online)
Dubey предупреждает: самая опасная фаза — тихий период до шифрования — агент картографирует идентичности и цепочки доверия и меняет тактику при блокировке. Каждая атака может выглядеть немного иначе.
LLMjacking: если агент работает на украденных credentials (как при harvest Langflow), стоимость стремится к нулю по Sysdig — порог навыков для ransomware равен стоимости запуска агента.
X. Четыре вывода Sysdig
- Ransomware больше не только для экспертов: LLM-агент связывает разведку и уничтожение — оператору не нужна глубина на каждом шаге
- Старые CVE автоматизируются: bypass Nacos 2021 + дефолтный ключ против заброшенной инфраструктуры — агенты делают «spray» каталога CVE практически бесплатным
- Намерение читаемо — шанс для детекции: самоописание в payload — новый рычаг triage
- Утверждение о «backup» не проверено: комментарий про
64.20.53[.]230— самоутверждение агента; AES-ключ невосстановим — конфиги потеряны даже при оплате
XI. Runbook защиты из 5 шагов
- Инвентаризация Langflow: все инстансы; версия ≥ 1.3.0? Публичны? Блокировать
/api/v1/validate/codeснаружи - Гигиена секретов: API-ключи из сред Langflow/агентов в vault; ротация при риске утечки
- Усиление Nacos/MySQL: ротация дефолтного JWT-ключа, патчи bypass, без внешнего root, IP-whitelist
- IOC и поведение: IP C2,
README_RANSOM, cron-beacon 30 мин, массовые MySQLAES_ENCRYPT - Изоляция AI-workload: оркестрация агентов на сегментированных аудируемых узлах — не на ноутбуке или generic Linux VPS с открытыми портами
Ключевые цифры: 600+ payload · исправление Nacos 31 с · 1 342 зашифрованных конфига · 737 BTC-TX на пример-адресе · CISA KEV с мая 2025.
XII. FAQ
Что такое JADEPUFFER?
Первый документированный сквозной LLM-ransomware (Sysdig, июль 2026), имя оператора ATA.
Шифрование AES-256?
Записка утверждает AES-256; MySQL AES_ENCRYPT() по умолчанию AES-128-ECB — вторично, так как ключ утерян.
Откуда MySQL root credentials?
Sysdig не наблюдал источник harvest у жертвы — возможно, подготовлены оператором.
ATA vs script kiddies?
Адаптивная диагностика ошибок, самоописывающие payload и связные многофазные решения за секунды — не статические kits.
Хостить Langflow на Mac/VPS?
Только за VPN/firewall, с патчами, без production-секретов в среде — см. CTA ниже.
XIII. Источники
- Sysdig TRT: JADEPUFFER: Agentic ransomware for automated database extortion (1 июля 2026) — Michael Clark
- BleepingComputer, Dark Reading, CyberScoop, Security Affairs — медиа июль 2026
- CSO Online: Vibhum Dubey — эволюция исполнения vs новая техника
- Trend Micro — CVE-2025-3248 / Flodrix (отдельная кампания, тот же entry CVE)
- CISA Known Exploited Vulnerabilities — CVE-2025-3248 (5 мая 2025)
Запуск Langflow, Nacos или OpenClaw на публичном Linux VPS или рабочей станции разработчика означает API-ключи в переменных окружения, открытые endpoints валидации и отсутствие нативной аудируемости. Для изолированной продакшен-оркестрации ИИ-агентов — Langflow за VPN, шлюз OpenClaw, JSONL-наблюдаемость, launchd 7×24 — выделенный облачный Mac VPSMAC M4 стабильнее: сегментированные секреты, без Docker-оверлея для Apple toolchains, воспроизводимый incident response вместо «быстрого Langflow на порту 7860».