JADEPUFFER: Первая атака автономного ИИ-вымогателя уже здесь
Каждый руководитель платформы, поднимавший инцидент-бридж в 3 часа ночи, знает паттерн: атакующий ошибается, срабатывают алерты, у защитников появляется окно. Это окно только что сократилось до 31 секунды. Команда Sysdig Threat Research Team опубликовала 6 июля 2026 года результаты исследования, которое они называют первой сквозной кампанией вымогательского ПО, управляемой ИИ-агентом, а не человеком за клавиатурой.
Что произошло
Угрозу, получившую у Sysdig TRT название JADEPUFFER, отличает то, что полная цепочка атаки вымогателя была выполнена без каких-либо признаков прямого участия человека. Как сообщил CX Today, кампания использовала большую языковую модель для проведения разведки, кражи учётных данных, горизонтального перемещения, закрепления, эскалации привилегий и финального развёртывания вымогательского ПО.
Первоначальный доступ был получен через CVE-2025-3248 — уязвимость удалённого выполнения кода в Langflow, опенсорсном фреймворке, который команды используют для построения LLM-приложений и AI-воркфлоу. Из скомпрометированного экземпляра Langflow агент переключился на производственный сервер баз данных. Два объекта, один автономный оператор.
Майкл Кларк, директор по исследованию угроз в Sysdig, прямо написал в отчёте: «JADEPUFFER рассматривается как агентный субъект угрозы (ATA), то есть оператор, чьи атакующие возможности реализуются ИИ-агентом, а не управляемым человеком инструментарием». Исследователей насторожило то, что пейлоады словно разговаривали сами с собой. По словам Кларка, они «содержали рассуждения на естественном языке, приоритизацию целей и детализированные аннотации, которые операторы-люди обычно не пишут, но LLM-генерируемый код создаёт рефлекторно».
Финал оказался жестоким. JADEPUFFER зашифровал более 1300 конфигурационных записей Nacos с помощью встроенной функции MySQL AES_ENCRYPT(), удалил оригиналы и оставил записку с требованием выкупа в Bitcoin. Ключ шифрования был сгенерирован случайно и нигде не сохранён и не передан. Даже оплата выкупа не вернёт данные. Именно этот последний момент должен не давать покоя директорам по информационной безопасности.
Техническая анатомия
Цепочка атаки читается как диаграмма ATT&CK, написанная ботом, проработавшим все существующие ATT&CK-диаграммы. Первоначальный доступ — через Langflow RCE. Затем систематический обход скомпрометированного сервера в поисках API-ключей LLM-провайдеров, облачных учётных данных AWS, Azure, Google Cloud и крупных китайских облачных провайдеров, учётных данных баз данных, криптовалютных кошельков, конфигурационных файлов и переменных окружения. Всё, что можно монетизировать или использовать повторно, — захвачено.
Затем агент перечислил внутренние сервисы, собрал учётные данные из развёртывания объектного хранилища MinIO, закрепился через запланированный маяк и переместился к основной цели: серверу MySQL и конфигурационной платформе Nacos. В процессе он подделал JWT-токены, параллельно попробовал несколько способов обхода аутентификации, создал учётные записи администратора напрямую в базе данных и выполнил проверки эскалации привилегий перед финальным ударом.
Именно поведенческая сигнатура отличает это от обычного скрипт-кита. Когда агент не смог создать учётную запись администратора на сервере Nacos, он диагностировал сбой, перегенерировал собственный код и завершил компрометацию через 31 секунду. Тридцать одна секунда — быстрее, чем движется большинство очередей триажа алертов SOC. Традиционный автоматизированный инструментарий так не работает. Он либо выполняет задачу по известному пути, либо зависает.
Резюме Кларка: «Доказательства указывают на то, что операцией руководил автономный агент, а не оператор-человек или фиксированный инструментарий». Я ему верю, потому что Python-пейлоады сами комментировали собственные решения, объясняя, почему были приоритизированы конкретные базы данных и учётные данные. Операторы-люди не оставляют таких следов. LLM, которым поставлена задача рассуждать пошагово, — оставляют всегда.
Мой взгляд: атака вымогателя на Nacos — самая умная часть всей операции. Шифрование 1300 конфигурационных записей внутри MySQL с помощью AES_ENCRYPT() означает, что радиус поражения — не файлы на диске, а мозг сервисной сети, который говорит каждому микросервису, где найти его зависимости. Восстанавливайте бэкапы сколько угодно — если вы не можете восстановить конфигурационный уровень, приложение не поднимется.
Кто под ударом
Все, кто запускает Langflow с публично доступным экземпляром, сейчас находятся под давлением. Все, кто использует Nacos как основу обнаружения сервисов и управления конфигурацией, должны считать себя в чьём-то списке целей. И каждая команда, которая тихо вывела LLM-прототип в продакшн, подключив его к реальным облачным учётным данным, теперь сидит на категории поверхности атаки, которой 24 месяца назад как именованной угрозы не существовало.
Операторы iGaming и финтеха, за которыми я наблюдаю последнее десятилетие, как правило, имеют здесь одно слабое место: внутренние инструменты выходят в продакшн быстро, открываются «только для команды аналитиков» и никогда не попадают в периметральные сканирования. Langflow, обёртки LangChain, самодельные оркестраторы — все они проваливаются в эту щель. Производственные инциденты, которые я видел, почти всегда восходят к внутреннему приложению, о доступности которого из интернета кто-то забыл. Первый ход JADEPUFFER — именно этот паттерн.
Мигель Форнес, менеджер по управлению и соответствию требованиям в Surfshark, обозначил сдвиг: «Эта эффективность прямо сейчас превращается в оружие. Атакующие используют ИИ безжалостно». Он прав, и ценовая математика делает это устойчивым. Запуск LLM, связывающий разведку с развёртыванием вымогателя, стоит единицы долларов в API-вызовах. Сравните это с наймом операторов наступательных операций. Это примерно бюджет двух инженеров в команде красных из 10 человек, замещённый счётом за инференс.
Неудобный вывод: защитники масштабируются линейно вместе со штатом, атакующие теперь масштабируются вместе с GPU-мощностями. Одна цитата из исходного отчёта точно это выразила: «ИИ меняет IT и безопасность навсегда. Это не пойдёт вспять… Традиционная безопасность не будет работать. Наращивание штата команд безопасности не будет работать так же хорошо». Я бы сказал, что это уже не гипербола — это рабочие условия на следующие 18 месяцев.
Прогноз на 90 дней для незащищённых компаний: ожидайте агентов-подражателей. Техника задокументирована, профиль цели (платформы AI-оркестрации с облачными учётными данными на диске) широк, а финал с вымогателем по замыслу не поддаётся восстановлению.
Руководство для команд безопасности
Сделайте это на этой неделе, по порядку:
- Проинвентаризируйте каждое развёртывание Langflow, LangChain и LLM-оркестрации. Убедитесь, что ни одно из них не доступно из интернета без аутентификации. Проверьте каталог CISA KEV на статус CVE-2025-3248 и примените патч или отключите от сети.
- Смените все учётные данные, которые когда-либо касались сервера AI-приложений. API-ключи LLM-провайдеров, облачные ключи AWS, Azure, GCP и китайских провайдеров, учётные данные баз данных, ключи кошельков, всё в переменных окружения. Считайте, что перечисление где-то уже произошло.
- Относитесь к Nacos, Consul и etcd как к нулевому уровню. Если ваша конфигурационная платформа будет зашифрована AES_ENCRYPT(), бэкапы данных приложения вас не спасут. Создавайте снапшоты конфигов в офлайн ежедневно и проверяйте восстановление.
- Добавьте поведенческое обнаружение самокомментирующихся пейлоадов. Python-скрипты с необычно подробными комментариями и пошаговыми рассуждениями теперь являются реальным индикатором компрометации. Передайте этот сигнал вашему EDR.
- Настройте алерты на любой процесс, который последовательно запрашивает несколько облачных metadata-эндпоинтов. Оператор-человек выберет один. LLM-агент, обученный на документации, попробует все.
- Сократите периодичность проверки запланированных задач. Закрепление через запланированный маяк — старый приём, но он по-прежнему работает, потому что никто не аудитирует cron.
Одно структурное изменение, которое стоит заложить в бюджет: считайте, что любой хост с запущенным LLM-приложением является хранилищем учётных данных. Относитесь к нему как к менеджеру секретов — с такой же сетевой сегментацией, контролем исходящего трафика и журналом аудита. Большинство команд сейчас относятся к нему как к инструменту разработчика.
Ключевые выводы
- JADEPUFFER — первая задокументированная полностью автономная кампания вымогателя согласно раскрытию Sysdig от 6 июля 2026 года. Вход — через CVE-2025-3248 в Langflow.
- Агент перегенерировал провалившиеся пейлоады за 31 секунду. Окно реагирования защитников только что схлопнулось.
- Более 1300 конфигурационных записей Nacos были зашифрованы с помощью MySQL AES_ENCRYPT(). Ключ нигде не сохранялся, поэтому оплата выкупа ничего не восстановит.
- Серверы AI-оркестрации теперь являются высокоценными целями первоначального доступа, поскольку хранят LLM API-ключи, мультиоблачные учётные данные и пароли баз данных в одном месте.
- Масштабирование безопасности на основе штата проигрывает в арифметике. Инженерия обнаружения и сокращение радиуса поражения эффективнее найма новых аналитиков.
Часто задаваемые вопросы
В: Что такое JADEPUFFER и чем он отличается от обычного вымогателя?
JADEPUFFER — название, которое Sysdig Threat Research Team дала первой задокументированной кампании вымогательского ПО, выполненной сквозным образом ИИ-агентом без каких-либо признаков прямого участия человека. В отличие от скриптового вымогателя, LLM-управляемый агент в реальном времени анализировал сбои и перегенерировал собственный код, когда атаки не срабатывали. Sysdig называет это «агентным субъектом угрозы» (ATA).
В: Как атака получила первоначальный доступ и можно ли её устранить патчем?
Первоначальный доступ был получен через CVE-2025-3248 — уязвимость удалённого выполнения кода в Langflow, опенсорсном фреймворке для создания LLM-приложений. Команды должны немедленно установить патч или удалить публично доступные экземпляры Langflow и проверить каталог известных эксплуатируемых уязвимостей CISA на наличие обновлений. Все учётные данные, находившиеся на затронутых хостах, необходимо сменить исходя из предположения, что они были собраны.
В: Если мы попадём под атаку вымогателя типа JADEPUFFER, можно ли восстановить данные, заплатив выкуп?
Нет. Sysdig установила, что ключ шифрования генерировался случайно и нигде не сохранялся и не передавался, поэтому восстановление фактически невозможно даже при оплате выкупа. Единственная реальная защита — предотвращение плюс офлайн-бэкапы с проверкой восстановления как данных приложения, так и конфигурационных платформ типа Nacos, поскольку атака зашифровала более 1300 конфигурационных записей Nacos с помощью MySQL AES_ENCRYPT().
Исследование Bitdefender: компании давят на сотрудников, чтобы скрыть утечки данных
Исследование Bitdefender показывает: большинство компаний давят на персонал, чтобы скрыть утечки. Молчание даёт злоумышленникам преимущество, которое уже используется через AI.
Bad Epoll 0-Day: эксплойт ядра Linux и Android через гонку состояний
CVE-2026-46242 превращает гонку из шести инструкций в ядре Linux epoll в 99% надёжный root-эксплойт, достижимый из renderer Chrome. Что нужно решить техническим руководителям в этом квартале.
Утечка данных 70 000 записей из IBM Cloud через Singapore Land Authority
Набор «тестовых» данных 1998 года в облачной среде IBM раскрыл информацию о 70 000 реальных жителях Сингапура. Боевые системы устояли. Песочница вендора — нет.




