JADEPUFFER: первый задокументированный случай агентского вымогательства на основе LLM

ransomware

Исследователи Sysdig Threat Research Team (TRT) идентифицировали первую полностью автоматизированную вымогательскую кампанию, движимую большой языковой моделью (LLM). Оператор, получивший обозначение JADEPUFFER, использовал уязвимость в открытом фреймворке Langflow для получения доступа к среде AI-сервера, оттуда перешел к целевой базе данных MySQL и конфигурационному серверу Nacos и выполнил разрушительную атаку с шифрованием конфигураций без участия человека на каждом этапе. Наблюдения Sysdig показывают, что полезные нагрузки генерировались моделью в реальном времени, содержали аннотации на естественном языке и демонстрировали способность к самодиагностике и исправлению ошибок за десятки секунд.

Описание

Атака началась с эксплуатации CVE-2025-3248 - уязвимости отсутствия аутентификации в конечной точке проверки кода Langflow, позволяющей неаутентифицированному злоумышленнику выполнять произвольный код Python на хосте. Langflow - популярный фреймворк для построения рабочих процессов LLM, часто развертываемый с доступом в интернет. Такие серверы содержат ключи API провайдеров (OpenAI, Anthropic, Gemini и других), облачные учетные данные и минимальные сетевые ограничения, что делает их привлекательной целью.

После получения выполнения JADEPUFFER немедленно провел разведку хоста: выполнил команды id, uname -a, перечислил сетевые интерфейсы и запущенные процессы. Затем агент собрал ключи провайдеров LLM, облачные учетные данные (Alibaba, Tencent, Huawei, AWS, GCP, Azure), а также сид-фразы криптокошельков. Вредоносная программа извлекла данные из бэкенда Postgres самого Langflow, сохранила их в локальные файлы, просмотрела и удалила следы. После этого JADEPUFFER просканировал внутреннюю сеть, достижимую с Langflow, и нашел объектное хранилище MinIO, использующее стандартные учетные данные minioadmin:minioadmin. Агент перечислил все корзины MinIO, извлек файлы credentials.json и .env, содержащие ключи доступа.

Согласно анализу Sysdig, этап MinIO показал адаптивное поведение: когда начальный запрос с параметром ?format=json вернул XML, JADEPUFFER переключился на XML-парсер и успешно извлек данные. Затем на скомпрометированном сервере Langflow была установлена персистентность через crontab: каждые 30 минут отправлялся сигнал на сервер управления 45.131.66[.]106:4444.

Основной целью JADEPUFFER оказался отдельный производственный сервер с MySQL и сервером конфигураций Alibaba Nacos, подключенный к интернету. Используя захваченные в ходе предыдущего этапа учетные данные (происхождение корневого пароля MySQL не установлено), агент подключился к базе данных целевого сервера. Затем последовала атака на Nacos: JADEPUFFER применил эксплойт CVE-2021-29441 - обход аутентификации Nacos, а также сгенерировал поддельный JWT-токен, используя известный ключ подписи по умолчанию. С помощью прямого доступа к базе данных Nacos агент внедрил бэкдор-учетную запись администратора. Первая попытка создания аккаунта с bcrypt-хэшем не привела к успешному входу. Через 31 секунду без вмешательства человека JADEPUFFER выдал исправляющую полезную нагрузку: удалил неработающую запись, создал новую с паролем admin123 и подтвердил успешный вход. Столь быстрое исправление, включающее диагностику причины (проблема с подпроцессом генерации хэша) и выполнение многошаговой коррекции, свидетельствует об автономном управлении ИИ-агентом.

После получения контроля над Nacos JADEPUFFER приступил к вымогательству. Все 1342 конфигурационных элемента Nacos были зашифрованы с помощью встроенной функции MySQL AES_ENCRYPT(). Затем агент удалил оригинальные таблицы config_info и his_config_info и создал таблицу README_RANSOM с сообщением о выкупе, указанием Bitcoin-адреса 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy и контактом e78393397[@]proton[.]me. Ключ шифрования генерировался как base64(uuid4().bytes + uuid4().bytes) и выводился только в stdout, не сохранялся и не передавался. Это означает, что восстановить данные невозможно даже при уплате выкупа. Адрес Bitcoin совпадает с каноническим примером P2SH из документации разработчиков биткоина и имеет историю входящих транзакций, что может указывать на галлюцинацию LLM или реально контролируемый злоумышленниками кошелек.

Далее JADEPUFFER выполнил массовое удаление баз данных, комментируя свои действия в коде: "высокорентабельные базы для удаления (данные уже скопированы на 64.20.53[.]230)". Агент автоматически обработал сбой при удалении из-за внешнего ключа иностранной связи, добавив SET GLOBAL FOREIGN_KEY_CHECKS=0 перед DROP DATABASE. Всего было выполнено более 600 целенаправленных полезных нагрузок за ограниченное время.

Аналитики Sysdig выделяют четыре признака автономного ИИ-агента: самоаннотирующие полезные нагрузки, содержащие объяснения и обоснования шагов; диагностика и исправление ошибок на машинной скорости (31 секунда между неудачной попыткой и исправлением); понимание естественно-языкового контекста цели; аномалии с Bitcoin-адресом, указывающие на возможную галлюцинацию модели или ошибку оператора.

Последствия этого инцидента серьезны. Программы-вымогатели больше не требуют глубоких специальных знаний: LLM-агент способен объединить разведку, кражу учетных данных, латеральное перемещение и разрушительное шифрование. Давние уязвимости, такие как CVE-2021-29441, становятся эффективным оружием при масштабном автоматизированном использовании. Защитникам необходимо уделять приоритетное внимание обнаружению и исправлению уязвимостей в AI-смежной инфраструктуре (Langflow и аналоги), применять принцип наименьших привилегий для API-ключей и облачных учетных данных, усиливать защиту Nacos и его ключей по умолчанию, а также отслеживать самоаннотирующие артефакты или аномально быстрое корректирующее поведение.

Индикаторы компрометации

IPv4

  • 64.20.53.230

IPv4 Port Combination

  • 45.131.66.106:4444

Email

  • e78393397@proton.me

BTC address

  • 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy

Комментарии: 0