Исследователи Sysdig Threat Research Team (TRT) идентифицировали первую полностью автоматизированную вымогательскую кампанию, движимую большой языковой моделью (LLM). Оператор, получивший обозначение JADEPUFFER, использовал уязвимость в открытом фреймворке Langflow для получения доступа к среде AI-сервера, оттуда перешел к целевой базе данных MySQL и конфигурационному серверу Nacos и выполнил разрушительную атаку с шифрованием конфигураций без участия человека на каждом этапе. Наблюдения Sysdig показывают, что полезные нагрузки генерировались моделью в реальном времени, содержали аннотации на естественном языке и демонстрировали способность к самодиагностике и исправлению ошибок за десятки секунд.
Описание
Атака началась с эксплуатации CVE-2025-3248 - уязвимости отсутствия аутентификации в конечной точке проверки кода Langflow, позволяющей неаутентифицированному злоумышленнику выполнять произвольный код Python на хосте. Langflow - популярный фреймворк для построения рабочих процессов LLM, часто развертываемый с доступом в интернет. Такие серверы содержат ключи API провайдеров (OpenAI, Anthropic, Gemini и других), облачные учетные данные и минимальные сетевые ограничения, что делает их привлекательной целью.
После получения выполнения JADEPUFFER немедленно провел разведку хоста: выполнил команды id, uname -a, перечислил сетевые интерфейсы и запущенные процессы. Затем агент собрал ключи провайдеров LLM, облачные учетные данные (Alibaba, Tencent, Huawei, AWS, GCP, Azure), а также сид-фразы криптокошельков. Вредоносная программа извлекла данные из бэкенда Postgres самого Langflow, сохранила их в локальные файлы, просмотрела и удалила следы. После этого JADEPUFFER просканировал внутреннюю сеть, достижимую с Langflow, и нашел объектное хранилище MinIO, использующее стандартные учетные данные minioadmin:minioadmin. Агент перечислил все корзины MinIO, извлек файлы credentials.json и .env, содержащие ключи доступа.
Согласно анализу Sysdig, этап MinIO показал адаптивное поведение: когда начальный запрос с параметром ?format=json вернул XML, JADEPUFFER переключился на XML-парсер и успешно извлек данные. Затем на скомпрометированном сервере Langflow была установлена персистентность через crontab: каждые 30 минут отправлялся сигнал на сервер управления 45.131.66[.]106:4444.
Основной целью JADEPUFFER оказался отдельный производственный сервер с MySQL и сервером конфигураций Alibaba Nacos, подключенный к интернету. Используя захваченные в ходе предыдущего этапа учетные данные (происхождение корневого пароля MySQL не установлено), агент подключился к базе данных целевого сервера. Затем последовала атака на Nacos: JADEPUFFER применил эксплойт CVE-2021-29441 - обход аутентификации Nacos, а также сгенерировал поддельный JWT-токен, используя известный ключ подписи по умолчанию. С помощью прямого доступа к базе данных Nacos агент внедрил бэкдор-учетную запись администратора. Первая попытка создания аккаунта с bcrypt-хэшем не привела к успешному входу. Через 31 секунду без вмешательства человека JADEPUFFER выдал исправляющую полезную нагрузку: удалил неработающую запись, создал новую с паролем admin123 и подтвердил успешный вход. Столь быстрое исправление, включающее диагностику причины (проблема с подпроцессом генерации хэша) и выполнение многошаговой коррекции, свидетельствует об автономном управлении ИИ-агентом.
После получения контроля над Nacos JADEPUFFER приступил к вымогательству. Все 1342 конфигурационных элемента Nacos были зашифрованы с помощью встроенной функции MySQL AES_ENCRYPT(). Затем агент удалил оригинальные таблицы config_info и his_config_info и создал таблицу README_RANSOM с сообщением о выкупе, указанием Bitcoin-адреса 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy и контактом e78393397[@]proton[.]me. Ключ шифрования генерировался как base64(uuid4().bytes + uuid4().bytes) и выводился только в stdout, не сохранялся и не передавался. Это означает, что восстановить данные невозможно даже при уплате выкупа. Адрес Bitcoin совпадает с каноническим примером P2SH из документации разработчиков биткоина и имеет историю входящих транзакций, что может указывать на галлюцинацию LLM или реально контролируемый злоумышленниками кошелек.
Далее JADEPUFFER выполнил массовое удаление баз данных, комментируя свои действия в коде: "высокорентабельные базы для удаления (данные уже скопированы на 64.20.53[.]230)". Агент автоматически обработал сбой при удалении из-за внешнего ключа иностранной связи, добавив SET GLOBAL FOREIGN_KEY_CHECKS=0 перед DROP DATABASE. Всего было выполнено более 600 целенаправленных полезных нагрузок за ограниченное время.
Аналитики Sysdig выделяют четыре признака автономного ИИ-агента: самоаннотирующие полезные нагрузки, содержащие объяснения и обоснования шагов; диагностика и исправление ошибок на машинной скорости (31 секунда между неудачной попыткой и исправлением); понимание естественно-языкового контекста цели; аномалии с Bitcoin-адресом, указывающие на возможную галлюцинацию модели или ошибку оператора.
Последствия этого инцидента серьезны. Программы-вымогатели больше не требуют глубоких специальных знаний: LLM-агент способен объединить разведку, кражу учетных данных, латеральное перемещение и разрушительное шифрование. Давние уязвимости, такие как CVE-2021-29441, становятся эффективным оружием при масштабном автоматизированном использовании. Защитникам необходимо уделять приоритетное внимание обнаружению и исправлению уязвимостей в AI-смежной инфраструктуре (Langflow и аналоги), применять принцип наименьших привилегий для API-ключей и облачных учетных данных, усиливать защиту Nacos и его ключей по умолчанию, а также отслеживать самоаннотирующие артефакты или аномально быстрое корректирующее поведение.
Индикаторы компрометации
IPv4
- 64.20.53.230
IPv4 Port Combination
- 45.131.66.106:4444
- e78393397@proton.me
BTC address
- 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy