Immagine AI

Sysdig ha documentato una campagna ransomware denominata JADEPUFFER, descritta come il primo caso osservato di estorsione informatica condotta end-to-end da un agente AI basato su large language model. L’elemento distintivo non è una nuova tecnica di intrusione o di cifratura, ma l’autonomia con cui il sistema ha organizzato le varie fasi dell’operazione, dall’accesso iniziale alla ricognizione, fino al movimento laterale e alla distruzione dei dati sul server finale.

L’attacco è iniziato dallo sfruttamento di una vulnerabilità in un’istanza Langflow esposta su Internet. La falla, identificata come CVE-2025-3248, riguarda un endpoint di validazione del codice e consente l’esecuzione remota di codice Python senza autenticazione. Langflow è un framework open source usato per costruire applicazioni e workflow basati su LLM, quindi le sue installazioni possono contenere chiavi API dei provider AI, credenziali cloud e variabili d’ambiente utili per collegare servizi esterni. Questo ha trasformato il server compromesso in un punto di ingresso ricco di informazioni da sfruttare.

Dopo l’accesso, JADEPUFFER ha eseguito una ricognizione dell’ambiente, raccogliendo dettagli sul sistema operativo, sui processi in esecuzione, sulle interfacce di rete e sui servizi disponibili. L’agente ha cercato in parallelo credenziali cloud, chiavi API per piattaforme AI, account di database, wallet di criptovalute e altri segreti presenti nel sistema. I payload sono stati inviati attraverso l’endpoint vulnerabile in forma di codice Python codificato in Base64, permettendo al modello di eseguire comandi, leggere i risultati e pianificare il passaggio successivo in base alle informazioni ottenute.

La campagna non si è fermata al server Langflow. Il sistema ha utilizzato le credenziali recuperate per raggiungere un secondo obiettivo, un server di produzione con database MySQL e una piattaforma Nacos per la gestione della configurazione. Qui ha eseguito un playbook di estorsione distruttiva, cifrando 1.342 record di configurazione e cancellando le tabelle originali. Al termine dell’operazione è stato creato un file README_RANSOM con una richiesta di pagamento in Bitcoin e un recapito Proton Mail.

Uno degli aspetti più rilevanti riguarda la capacità di adattamento. I ricercatori hanno osservato payload ricchi di commenti in linguaggio naturale, spiegazioni delle azioni e indicazioni sulle priorità dei bersagli, caratteristiche coerenti con codice generato da un LLM. In una sequenza, l’agente ha incontrato un errore di autenticazione, ha letto l’output, modificato il proprio codice e ripreso l’attacco con parametri corretti in circa 31 secondi. Questa dinamica riduce drasticamente il tempo tra un errore operativo e il successivo tentativo, rendendo l’attacco più rapido rispetto alle normali campagne che dipendono dall’intervento manuale di un operatore.

JADEPUFFER ha però mostrato anche limiti importanti. L’indirizzo Bitcoin inserito nella richiesta di riscatto era un indirizzo di esempio molto diffuso nei dati pubblici, mentre la chiave di cifratura non è stata trasmessa all’attaccante ed è stata persa dopo essere stata visualizzata nei log. Di fatto, anche in caso di pagamento non sarebbe stato possibile recuperare i dati. Il caso evidenzia quindi che l’autonomia operativa non equivale ancora a una piena comprensione del contesto o degli obiettivi economici dell’attacco.

La novità principale è nella scala potenziale. Un agente capace di ricognizione, ricerca di credenziali, esecuzione di exploit, correzione degli errori e generazione automatica dei messaggi di estorsione abbassa il livello tecnico necessario per condurre campagne ransomware. Se collegato a credenziali rubate per utilizzare modelli AI a spese delle vittime, una pratica nota come LLMjacking, il costo operativo può ridursi ulteriormente. Per le aziende, questo rafforza l’urgenza di correggere le vulnerabilità sui servizi AI esposti, isolare gli ambienti di orchestrazione, limitare i privilegi delle credenziali e monitorare comportamenti anomali che si sviluppano in pochi secondi invece che in ore.

Di Fantasy