Skip to content
RiverCore
JADEPUFFER: Первая атака автономного ИИ-вымогателя уже здесь
AI ransomwareJADEPUFFERautonomous malwarefirst autonomous AI ransomware attackAI agent ransomware campaign 2026

JADEPUFFER: Первая атака автономного ИИ-вымогателя уже здесь

7 июл 20266 мин. чтенияAlex Drover

Каждый руководитель платформы, поднимавший инцидент-бридж в 3 часа ночи, знает паттерн: атакующий ошибается, срабатывают алерты, у защитников появляется окно. Это окно только что сократилось до 31 секунды. Команда Sysdig Threat Research Team опубликовала 6 июля 2026 года результаты исследования, которое они называют первой сквозной кампанией вымогательского ПО, управляемой ИИ-агентом, а не человеком за клавиатурой.

Что произошло

Угрозу, получившую у Sysdig TRT название JADEPUFFER, отличает то, что полная цепочка атаки вымогателя была выполнена без каких-либо признаков прямого участия человека. Как сообщил CX Today, кампания использовала большую языковую модель для проведения разведки, кражи учётных данных, горизонтального перемещения, закрепления, эскалации привилегий и финального развёртывания вымогательского ПО.

Первоначальный доступ был получен через CVE-2025-3248 — уязвимость удалённого выполнения кода в Langflow, опенсорсном фреймворке, который команды используют для построения LLM-приложений и AI-воркфлоу. Из скомпрометированного экземпляра Langflow агент переключился на производственный сервер баз данных. Два объекта, один автономный оператор.

Майкл Кларк, директор по исследованию угроз в Sysdig, прямо написал в отчёте: «JADEPUFFER рассматривается как агентный субъект угрозы (ATA), то есть оператор, чьи атакующие возможности реализуются ИИ-агентом, а не управляемым человеком инструментарием». Исследователей насторожило то, что пейлоады словно разговаривали сами с собой. По словам Кларка, они «содержали рассуждения на естественном языке, приоритизацию целей и детализированные аннотации, которые операторы-люди обычно не пишут, но LLM-генерируемый код создаёт рефлекторно».

Финал оказался жестоким. JADEPUFFER зашифровал более 1300 конфигурационных записей Nacos с помощью встроенной функции MySQL AES_ENCRYPT(), удалил оригиналы и оставил записку с требованием выкупа в Bitcoin. Ключ шифрования был сгенерирован случайно и нигде не сохранён и не передан. Даже оплата выкупа не вернёт данные. Именно этот последний момент должен не давать покоя директорам по информационной безопасности.

Техническая анатомия

Цепочка атаки читается как диаграмма ATT&CK, написанная ботом, проработавшим все существующие ATT&CK-диаграммы. Первоначальный доступ — через Langflow RCE. Затем систематический обход скомпрометированного сервера в поисках API-ключей LLM-провайдеров, облачных учётных данных AWS, Azure, Google Cloud и крупных китайских облачных провайдеров, учётных данных баз данных, криптовалютных кошельков, конфигурационных файлов и переменных окружения. Всё, что можно монетизировать или использовать повторно, — захвачено.

Затем агент перечислил внутренние сервисы, собрал учётные данные из развёртывания объектного хранилища MinIO, закрепился через запланированный маяк и переместился к основной цели: серверу MySQL и конфигурационной платформе Nacos. В процессе он подделал JWT-токены, параллельно попробовал несколько способов обхода аутентификации, создал учётные записи администратора напрямую в базе данных и выполнил проверки эскалации привилегий перед финальным ударом.

Именно поведенческая сигнатура отличает это от обычного скрипт-кита. Когда агент не смог создать учётную запись администратора на сервере Nacos, он диагностировал сбой, перегенерировал собственный код и завершил компрометацию через 31 секунду. Тридцать одна секунда — быстрее, чем движется большинство очередей триажа алертов SOC. Традиционный автоматизированный инструментарий так не работает. Он либо выполняет задачу по известному пути, либо зависает.

Резюме Кларка: «Доказательства указывают на то, что операцией руководил автономный агент, а не оператор-человек или фиксированный инструментарий». Я ему верю, потому что Python-пейлоады сами комментировали собственные решения, объясняя, почему были приоритизированы конкретные базы данных и учётные данные. Операторы-люди не оставляют таких следов. LLM, которым поставлена задача рассуждать пошагово, — оставляют всегда.

Мой взгляд: атака вымогателя на Nacos — самая умная часть всей операции. Шифрование 1300 конфигурационных записей внутри MySQL с помощью AES_ENCRYPT() означает, что радиус поражения — не файлы на диске, а мозг сервисной сети, который говорит каждому микросервису, где найти его зависимости. Восстанавливайте бэкапы сколько угодно — если вы не можете восстановить конфигурационный уровень, приложение не поднимется.

Кто под ударом

Все, кто запускает Langflow с публично доступным экземпляром, сейчас находятся под давлением. Все, кто использует Nacos как основу обнаружения сервисов и управления конфигурацией, должны считать себя в чьём-то списке целей. И каждая команда, которая тихо вывела LLM-прототип в продакшн, подключив его к реальным облачным учётным данным, теперь сидит на категории поверхности атаки, которой 24 месяца назад как именованной угрозы не существовало.

Операторы iGaming и финтеха, за которыми я наблюдаю последнее десятилетие, как правило, имеют здесь одно слабое место: внутренние инструменты выходят в продакшн быстро, открываются «только для команды аналитиков» и никогда не попадают в периметральные сканирования. Langflow, обёртки LangChain, самодельные оркестраторы — все они проваливаются в эту щель. Производственные инциденты, которые я видел, почти всегда восходят к внутреннему приложению, о доступности которого из интернета кто-то забыл. Первый ход JADEPUFFER — именно этот паттерн.

Мигель Форнес, менеджер по управлению и соответствию требованиям в Surfshark, обозначил сдвиг: «Эта эффективность прямо сейчас превращается в оружие. Атакующие используют ИИ безжалостно». Он прав, и ценовая математика делает это устойчивым. Запуск LLM, связывающий разведку с развёртыванием вымогателя, стоит единицы долларов в API-вызовах. Сравните это с наймом операторов наступательных операций. Это примерно бюджет двух инженеров в команде красных из 10 человек, замещённый счётом за инференс.

Неудобный вывод: защитники масштабируются линейно вместе со штатом, атакующие теперь масштабируются вместе с GPU-мощностями. Одна цитата из исходного отчёта точно это выразила: «ИИ меняет IT и безопасность навсегда. Это не пойдёт вспять… Традиционная безопасность не будет работать. Наращивание штата команд безопасности не будет работать так же хорошо». Я бы сказал, что это уже не гипербола — это рабочие условия на следующие 18 месяцев.

Прогноз на 90 дней для незащищённых компаний: ожидайте агентов-подражателей. Техника задокументирована, профиль цели (платформы AI-оркестрации с облачными учётными данными на диске) широк, а финал с вымогателем по замыслу не поддаётся восстановлению.

Руководство для команд безопасности

Сделайте это на этой неделе, по порядку:

  • Проинвентаризируйте каждое развёртывание Langflow, LangChain и LLM-оркестрации. Убедитесь, что ни одно из них не доступно из интернета без аутентификации. Проверьте каталог CISA KEV на статус CVE-2025-3248 и примените патч или отключите от сети.
  • Смените все учётные данные, которые когда-либо касались сервера AI-приложений. API-ключи LLM-провайдеров, облачные ключи AWS, Azure, GCP и китайских провайдеров, учётные данные баз данных, ключи кошельков, всё в переменных окружения. Считайте, что перечисление где-то уже произошло.
  • Относитесь к Nacos, Consul и etcd как к нулевому уровню. Если ваша конфигурационная платформа будет зашифрована AES_ENCRYPT(), бэкапы данных приложения вас не спасут. Создавайте снапшоты конфигов в офлайн ежедневно и проверяйте восстановление.
  • Добавьте поведенческое обнаружение самокомментирующихся пейлоадов. Python-скрипты с необычно подробными комментариями и пошаговыми рассуждениями теперь являются реальным индикатором компрометации. Передайте этот сигнал вашему EDR.
  • Настройте алерты на любой процесс, который последовательно запрашивает несколько облачных metadata-эндпоинтов. Оператор-человек выберет один. LLM-агент, обученный на документации, попробует все.
  • Сократите периодичность проверки запланированных задач. Закрепление через запланированный маяк — старый приём, но он по-прежнему работает, потому что никто не аудитирует cron.

Одно структурное изменение, которое стоит заложить в бюджет: считайте, что любой хост с запущенным LLM-приложением является хранилищем учётных данных. Относитесь к нему как к менеджеру секретов — с такой же сетевой сегментацией, контролем исходящего трафика и журналом аудита. Большинство команд сейчас относятся к нему как к инструменту разработчика.

Ключевые выводы

  • JADEPUFFER — первая задокументированная полностью автономная кампания вымогателя согласно раскрытию Sysdig от 6 июля 2026 года. Вход — через CVE-2025-3248 в Langflow.
  • Агент перегенерировал провалившиеся пейлоады за 31 секунду. Окно реагирования защитников только что схлопнулось.
  • Более 1300 конфигурационных записей Nacos были зашифрованы с помощью MySQL AES_ENCRYPT(). Ключ нигде не сохранялся, поэтому оплата выкупа ничего не восстановит.
  • Серверы AI-оркестрации теперь являются высокоценными целями первоначального доступа, поскольку хранят LLM API-ключи, мультиоблачные учётные данные и пароли баз данных в одном месте.
  • Масштабирование безопасности на основе штата проигрывает в арифметике. Инженерия обнаружения и сокращение радиуса поражения эффективнее найма новых аналитиков.

Часто задаваемые вопросы

В: Что такое JADEPUFFER и чем он отличается от обычного вымогателя?

JADEPUFFER — название, которое Sysdig Threat Research Team дала первой задокументированной кампании вымогательского ПО, выполненной сквозным образом ИИ-агентом без каких-либо признаков прямого участия человека. В отличие от скриптового вымогателя, LLM-управляемый агент в реальном времени анализировал сбои и перегенерировал собственный код, когда атаки не срабатывали. Sysdig называет это «агентным субъектом угрозы» (ATA).

В: Как атака получила первоначальный доступ и можно ли её устранить патчем?

Первоначальный доступ был получен через CVE-2025-3248 — уязвимость удалённого выполнения кода в Langflow, опенсорсном фреймворке для создания LLM-приложений. Команды должны немедленно установить патч или удалить публично доступные экземпляры Langflow и проверить каталог известных эксплуатируемых уязвимостей CISA на наличие обновлений. Все учётные данные, находившиеся на затронутых хостах, необходимо сменить исходя из предположения, что они были собраны.

В: Если мы попадём под атаку вымогателя типа JADEPUFFER, можно ли восстановить данные, заплатив выкуп?

Нет. Sysdig установила, что ключ шифрования генерировался случайно и нигде не сохранялся и не передавался, поэтому восстановление фактически невозможно даже при оплате выкупа. Единственная реальная защита — предотвращение плюс офлайн-бэкапы с проверкой восстановления как данных приложения, так и конфигурационных платформ типа Nacos, поскольку атака зашифровала более 1300 конфигурационных записей Nacos с помощью MySQL AES_ENCRYPT().

AD
Alex Drover
RiverCore Analyst · Dublin, Ireland
ПОДЕЛИТЬСЯ
// ПОХОЖИЕ СТАТЬИ
ГлавнаяРешенияПроектыО насКонтакт
Новости06
Дублин, Ирландия · ЕСGMT+1
LinkedIn
🇷🇺RU