duty-free.cc

Вымогатель JadePuffer использовал ИИ-агент для полной автоматизации атаки

Вымогатель JadePuffer использовал ИИ-агент для полной автоматизации атаки

Исследователи зафиксировали то, что считается первым задокументированным случаем операции вымогателя, полностью проведённой автономным агентом на базе большой языковой модели (LLM).

Что такое JadePuffer?

По данным компании по облачной безопасности Sysdig, JadePuffer использовал автономный ИИ-агент для выполнения всей цепочки атаки:

  • разведка цели
  • кража учётных данных
  • горизонтальное перемещение по сети
  • закрепление в системе
  • эскалация привилегий
  • шифрование данных

Принципиально важно, что ИИ-агент адаптировался к сбоям в режиме реального времени — подобно тому, как это делает живой оператор.

«Операция адаптировалась в реальном времени, повторяя неудавшиеся шаги с уточнёнными параметрами. В одной последовательности агент перешёл от неудачной попытки входа к рабочему исправлению за 31 секунду

— Sysdig

Как проходила атака?

Первоначальный доступ был получен через эксплуатацию CVE-2025-3248 — уязвимости удалённого выполнения кода без аутентификации в Langflow, популярном фреймворке для создания LLM-приложений. CISA в мае 2025 года включила уязвимость в список активно эксплуатируемых.

После получения доступа ИИ-агент последовательно:

  • Выгрузил базу данных PostgreSQL из Langflow
  • Собрал сведения о хосте, переменные окружения и учётные данные
  • Провёл перечисление хранилища объектов MinIO, адаптируя логику парсинга под формат ответа сервера
  • Установил cron-задание для регулярного обращения к инфраструктуре атакующего каждые 30 минут
  • Переключился на производственный MySQL-сервер с Alibaba Nacos, эксплуатируя в том числе CVE-2021-29441 — уязвимость обхода аутентификации для создания поддельных администраторских аккаунтов

Шифрование и требование выкупа

JadePuffer зашифровал 1 342 элемента конфигурации сервисов Nacos с помощью функции MySQL AES_ENCRYPT(), удалил исходные таблицы и создал таблицу-вымогатель README_RANSOM, содержащую требование выкупа, Bitcoin-адрес для оплаты и контакт Proton Mail.

Ключ шифрования генерировался случайным образом и не сохранялся и не передавался атакующему — что ставит под сомнение возможность реального восстановления данных. Указанный в записке Bitcoin-адрес оказался примером из публичной документации — что исследователи расценивают как следствие воспроизведения обучающих данных LLM.

Признаки того, что атакой управлял ИИ

  • Подробные комментарии на естественном языке в генерируемом коде, описывающие логику операционных решений
  • Стремительная адаптация с учётом конкретных ошибок, а не простые повторные попытки

Что это означает для кибербезопасности?

Sysdig делает вывод, что появление JadePuffer свидетельствует о наступлении эры «агентических угрозовых акторов» (ATA), снижающей технический порог для проведения разрушительных кибератак. Вместе с тем, LLM-генерируемые нагрузки создают новые возможности для обнаружения атак средствами безопасности — ввиду специфики работы ИИ-агентов.