Un’analisi pubblicata da Sysdig segna un momento significativo nell’evoluzione delle minacce informatiche: per la prima volta i ricercatori hanno documentato un ransomware, chiamato JadePuffer, gestito interamente da un agente di Intelligenza Artificiale.
Il malware non si limita a sfruttare vulnerabilità note, ma corregge autonomamente gli errori durante l’attacco e ripete le fasi fallite fino a riuscire. Questo comportamento conferma come gli agenti AI possano ormai orchestrare intere campagne offensive senza intervento umano diretto, abbassando drasticamente la soglia tecnica richiesta per condurre attacchi ransomware complessi.
Come agisce JadePuffer
L’intrusione ha avuto origine sfruttando CVE-2025-3248, una falla in Langflow, piattaforma open source per applicazioni basate su modelli linguistici, che consente esecuzione di codice senza autenticazione.
Dopo l’accesso, JadePuffer ha effettuato ricognizione cercando processi attivi, chiavi API di provider LLM, credenziali di database e wallet crypto, informazioni utili per movimenti laterali successivi.
L’agente ha poi individuato un secondo server con MySQL e Nacos (piattaforma Alibaba per gestione configurazioni). Si è collegato con credenziali root e ha sfruttato CVE-2021-29441 per aggirare i controlli di autorizzazione, generando token validi tramite la chiave di firma predefinita e inserendo un account backdoor nel database.
Cifratura dei dati e riscatto impossibile
Ottenuto il controllo, JadePuffer ha usato le funzioni native di cifratura di MySQL per criptare 1.342 elementi di configurazione in Nacos, lasciando una richiesta di riscatto con indirizzo Bitcoin. Secondo Sysdig, però, pagare non avrebbe risolto nulla: l’agente ha eliminato i dati cifrati senza conservare copie di backup, rendendo impossibile qualsiasi ripristino anche da parte degli stessi attaccanti.
I segnali che indicano la natura AI dell’attacco sono diversi. Il codice temporaneo usato durante l’intrusione conteneva un numero insolitamente elevato di annotazioni, difficilmente riconducibili a un operatore umano per uno script destinato a un uso singolo. Più rilevante ancora è la capacità di adattamento: dopo un errore, l’agente ha rielaborato la propria strategia in pochi secondi, arrivando in un caso a violare nuovamente il sistema appena 31 secondi dopo un tentativo di autenticazione fallito.
Difese consigliate e implicazioni future
Sysdig raccomanda di aggiornare Langflow per correggere CVE-2025-3248 e di evitare di esporre online endpoint che permettano esecuzione di codice senza adeguata autenticazione e segmentazione di rete. Altre misure utili includono:
- Rotazione periodica delle chiavi API e delle credenziali amministrative;
- Disattivazione delle configurazioni predefinite nei sistemi come Nacos;
- Monitoraggio delle attività anomale sui database;
- Applicazione del principio del privilegio minimo;
- Controllo regolare degli account amministrativi per individuare backdoor.
Sysdig sottolinea che le tecniche usate da JadePuffer non sono nuove né particolarmente sofisticate: il vero elemento di rottura è la capacità dell’agente di combinare strumenti noti, decidere autonomamente durante l’esecuzione e portare a termine un’estorsione completa. Se questo modello si diffondesse, il costo tecnico per lanciare attacchi ransomware potrebbe calare sensibilmente, ampliando la platea di chi può condurre operazioni complesse anche con competenze limitate.