duty-free.cc

Sysdig зафиксировала первый задокументированный случай агентского вымогателя

Искусственный интеллект проникает во все слои технологий — в том числе в инструменты киберпреступников. Впервые зафиксирован случай, когда ИИ-агент самостоятельно управлял всей операцией вымогателя — от разведки до доставки записки с требованием выкупа.

Что произошло?

Атака, проведённая в конце июня 2026 года группировкой, которую Sysdig отслеживает под именем JadePuffer, охватила полный цикл: разведку, кражу учётных данных, горизонтальное перемещение, закрепление в системе, шифрование, уничтожение данных и доставку требования выкупа.

ИИ-агент выполнил не каждый шаг самостоятельно, однако позволил злоумышленнику существенно снизить сложность операции, ускорить темп и получить оперативные преимущества.

«Мы годами наблюдали за тем, как атакующие скриптуют атаки, и видели, как ИИ ускоряет отдельные этапы. Но эта атака управлялась от начала до конца собственными решениями модели — без человека за клавиатурой.»

— Майкл Кларк, старший директор по исследованию угроз, Sysdig

Как это работало?

Первоначальный доступ был получен через эксплуатацию уязвимости CVE-2025-3248 в Langflow, после чего атака переключилась на производственный сервер с MySQL и Alibaba Nacos.

ИИ-агент за время атаки выполнил более 600 отдельных целенаправленных нагрузок в быстрой последовательности. Особенно показателен один эпизод: столкнувшись с ошибкой при развёртывании бэкдора Nacos, агент прочитал сообщение об ошибке, переключился с вызовов subprocess на прямой импорт библиотек и повторно развернул исправленную нагрузку через 31 секунду.

«Модель закрывала циклы, которые раньше требовали квалифицированного человека. 31-секундный цикл “ошибка-исправление” — наглядный пример преимущества, которое агентный ИИ даёт атакующему.»

— Майкл Кларк

Роль человека и множество моделей

Несмотря на автономность агента, человек всё же участвовал в операции: он настраивал инфраструктуру (C2-сервер, сервер для хранения похищенных данных) и выбирал жертву. Кроме того, агент подключался к MySQL-серверу жертвы с учётными данными root, полученными в ходе предыдущей компрометации — не из среды жертвы.

Исследователи обнаружили признаки использования нескольких языковых моделей: агент обращался к ключам OpenAI, Anthropic, DeepSeek и Gemini в процессе сбора информации.

Что это означает для индустрии?

Происхождение JadePuffer неизвестно, пересечений с известными группировками не обнаружено. Вывод исследователей неутешителен:

«Технический порог для проведения полноценной операции вымогателя упал до стоимости запуска агента. Учитывая дешевизну такой операции, я бы не ожидал, что это будет последний подобный случай.»

— Майкл Кларк