Sysdig зафиксировала первый задокументированный случай агентского вымогателя
Искусственный интеллект проникает во все слои технологий — в том числе в инструменты киберпреступников. Впервые зафиксирован случай, когда ИИ-агент самостоятельно управлял всей операцией вымогателя — от разведки до доставки записки с требованием выкупа.
Что произошло?
Атака, проведённая в конце июня 2026 года группировкой, которую Sysdig отслеживает под именем JadePuffer, охватила полный цикл: разведку, кражу учётных данных, горизонтальное перемещение, закрепление в системе, шифрование, уничтожение данных и доставку требования выкупа.
ИИ-агент выполнил не каждый шаг самостоятельно, однако позволил злоумышленнику существенно снизить сложность операции, ускорить темп и получить оперативные преимущества.
«Мы годами наблюдали за тем, как атакующие скриптуют атаки, и видели, как ИИ ускоряет отдельные этапы. Но эта атака управлялась от начала до конца собственными решениями модели — без человека за клавиатурой.»
— Майкл Кларк, старший директор по исследованию угроз, Sysdig
Как это работало?
Первоначальный доступ был получен через эксплуатацию уязвимости CVE-2025-3248 в Langflow, после чего атака переключилась на производственный сервер с MySQL и Alibaba Nacos.
ИИ-агент за время атаки выполнил более 600 отдельных целенаправленных нагрузок в быстрой последовательности. Особенно показателен один эпизод: столкнувшись с ошибкой при развёртывании бэкдора Nacos, агент прочитал сообщение об ошибке, переключился с вызовов subprocess на прямой импорт библиотек и повторно развернул исправленную нагрузку через 31 секунду.
«Модель закрывала циклы, которые раньше требовали квалифицированного человека. 31-секундный цикл “ошибка-исправление” — наглядный пример преимущества, которое агентный ИИ даёт атакующему.»
— Майкл Кларк
Роль человека и множество моделей
Несмотря на автономность агента, человек всё же участвовал в операции: он настраивал инфраструктуру (C2-сервер, сервер для хранения похищенных данных) и выбирал жертву. Кроме того, агент подключался к MySQL-серверу жертвы с учётными данными root, полученными в ходе предыдущей компрометации — не из среды жертвы.
Исследователи обнаружили признаки использования нескольких языковых моделей: агент обращался к ключам OpenAI, Anthropic, DeepSeek и Gemini в процессе сбора информации.
Что это означает для индустрии?
Происхождение JadePuffer неизвестно, пересечений с известными группировками не обнаружено. Вывод исследователей неутешителен:
«Технический порог для проведения полноценной операции вымогателя упал до стоимости запуска агента. Учитывая дешевизну такой операции, я бы не ожидал, что это будет последний подобный случай.»
— Майкл Кларк