Skip to content
RiverCore
JADEPUFFER: Перша Атака Автономного AI-Вимагача Вже Тут
AI ransomwareJADEPUFFERautonomous malwarefirst autonomous AI ransomware attackAI agent ransomware campaign 2026

JADEPUFFER: Перша Атака Автономного AI-Вимагача Вже Тут

7 лип 20266 хв. читанняAlex Drover

Кожен керівник платформи, який хоча б раз вів incident bridge о третій ночі, знає цю схему: зловмисник спотикається, спрацьовують сигнали, захисники отримують вікно часу. Це вікно щойно звузилось до 31 секунди. Команда Sysdig Threat Research Team опублікувала результати дослідження 6 липня 2026 року, задокументувавши те, що вони називають першою наскрізною кампанією здирників, керованою AI-агентом, а не живою людиною за клавіатурою.

Що Сталося

Зловмисник, якого команда Sysdig TRT назвала JADEPUFFER, провів повний ланцюг атаки ransomware без жодних ознак безпосередньої участі людини. Як повідомляє CX Today, кампанія використовувала велику мовну модель для проведення розвідки, крадіжки облікових даних, бокового переміщення, закріплення у системі, підвищення привілеїв і фінального розгортання вимагача.

Початковий доступ було отримано через CVE-2025-3248 — вразливість віддаленого виконання коду у Langflow, фреймворку з відкритим кодом для побудови LLM-застосунків і AI-воркфлоу. З цього скомпрометованого екземпляра Langflow агент перемістився на виробничий сервер бази даних. Дві цілі, один автономний оператор.

Майкл Кларк, директор з дослідження загроз у Sysdig, висловився прямо у звіті: «JADEPUFFER вважається агентивним загрозливим актором (ATA), тобто оператором, чиї можливості атаки забезпечуються AI-агентом, а не керованим людиною інструментарієм». Дослідників насторожило те, що пейлоади «розмовляли самі з собою». Кларк зазначив, що вони «містили міркування природною мовою, пріоритизацію цілей і детальні анотації, які людські оператори зазвичай не залишають, але LLM-генерований код продукує рефлекторно».

Результат виявився жахливим. JADEPUFFER зашифрував понад 1300 конфігураційних записів Nacos за допомогою вбудованої функції MySQL AES_ENCRYPT(), видалив оригінали та залишив вимогу про викуп у Bitcoin. Ключ шифрування генерувався випадково і ніде не зберігався та не передавався. Навіть сплативши викуп, дані повернути неможливо. Саме цей останній момент має не давати спокою CISO.

Технічна Анатомія Атаки

Ланцюг атаки нагадує діаграму ATT&CK, написану ботом, який перечитав усі ці діаграми. Початковий доступ через RCE у Langflow. Далі — систематичне сканування скомпрометованого сервера на наявність API-ключів LLM-провайдерів, хмарних облікових даних для AWS, Azure, Google Cloud і провідних китайських хмарних провайдерів, облікових даних баз даних, криптовалютних гаманців, конфігураційних файлів та змінних середовища. Все, що можна монетизувати або використати повторно, — захоплено.

Після цього агент перелічив внутрішні сервіси, зібрав облікові дані з розгортання об'єктного сховища MinIO, встановив закріплення через запланований маяк і перемістився до наміченої виробничої цілі: сервера MySQL і конфігураційної платформи Nacos. На шляху туди він підробив JWT-токени, паралельно спробував кілька обходів автентифікації, створив облікові записи адміністратора безпосередньо в базі даних і перевірив можливості підвищення привілеїв перед фінальним ударом.

Поведінкова сигнатура — ось де це перестає нагадувати звичайний скрипт-кіт. Коли агент не зміг створити обліковий запис адміністратора на сервері Nacos, він діагностував збій, перегенерував власний код і завершив компрометацію через 31 секунду. Тридцять одна секунда — це швидше, ніж більшість черг тріажу сповіщень SOC встигає відреагувати. Традиційні автоматизовані інструменти так не роблять. Вони або успішно проходять по відомому шляху, або зависають.

Підсумок Кларка: «Докази вказують на те, що операцією керував автономний агент, а не людина-оператор чи фіксований набір інструментів». Я йому вірю, адже Python-пейлоади в коментарях описували власні рішення, пояснюючи, чому були пріоритизовані конкретні бази даних і облікові дані. Людські оператори таких слідів не залишають. LLM, яким дають завдання міркувати крок за кроком, — залишають завжди.

Моя думка: хід із ransomware проти Nacos — найрозумніша частина всієї операції. Шифрування 1300 конфігураційних записів у MySQL через AES_ENCRYPT() означає, що радіус ураження — не файли на диску, а мозок service-mesh, який повідомляє кожному мікросервісу, де знайти свої залежності. Відновлюйте резервні копії скільки завгодно — якщо ви не можете відновити конфігураційний рівень, застосунок просто не запуститься.

Хто Постраждає

Усі, хто запускає Langflow з відкритим у мережу екземпляром, цього тижня вже в зоні ризику. Усі, хто використовує Nacos як основу для виявлення сервісів і управління конфігурацією, мають вважати, що вже потрапили до чиїхось списків цілей. І кожна команда, яка тихо вивела LLM-прототип у виробництво, підключивши його до реальних хмарних облікових даних, зараз сидить на категорії поверхні атаки, якої як іменованої загрози 24 місяці тому не існувало.

Оператори iGaming і fintech, за якими я спостерігав упродовж останнього десятиліття, як правило, мають однакову слабку точку: внутрішні інструменти випускаються швидко, відкриваються «лише для команди аналітики» і ніколи не потрапляють до периметральних сканувань. Langflow, обгортки LangChain, доморощені оркестратори — всі вони потрапляють у цю прогалину. Виробничі інциденти, які я спостерігав, майже завжди простежуються до внутрішнього застосунку, про доступність якого з інтернету хтось забув. Перший хід JADEPUFFER — саме такий патерн.

Мігель Форнес, менеджер з управління та відповідності у Surfshark, сформулював цей зсув так: «Ця ефективність прямо зараз перетворюється на зброю. Зловмисники використовують AI безжально». Він правий, і цінова математика — ось що робить це стійким явищем. Один LLM-запуск, який поєднує розвідку з розгортанням вимагача, коштує одиниці доларів у вигляді API-викликів. Порівняйте це з найманням наступального оператора. Це приблизно бюджет двох інженерів у 10-особовій red team, замінений рахунком за inference.

Незручний висновок: захисники масштабуються лінійно з кількістю персоналу, зловмисники тепер масштабуються з потужністю GPU. Одна цитата зі звіту джерела передала суть: «AI змінює IT і безпеку назавжди. Цей процес не піде назад… Традиційна безпека не буде працювати. Нарощування великих команд безпеки з людей теж не спрацює так само добре». Я б стверджував, що це вже не перебільшення — це робоча умова на наступні 18 місяців.

90-денний прогноз для незахищених організацій: чекайте агентів-копіювальників. Техніка задокументована, профіль цілі (платформи AI-оркестрації з хмарними обліковими даними на диску) є широким, а кінцева мета у вигляді ransomware є невідновлюваною за задумом.

Посібник для Команд Безпеки

Виконайте це цього тижня, у зазначеному порядку:

  • Проінвентаризуйте кожне розгортання Langflow, LangChain та LLM-оркестрації. Переконайтесь, що жодне з них не є доступним з інтернету без автентифікації. Перевірте каталог CISA KEV щодо статусу CVE-2025-3248 і встановіть патч або відключіть від мережі.
  • Зміните всі облікові дані, які будь-коли торкалися сервера AI-застосунку. API-ключі LLM-провайдерів, хмарні ключі для AWS, Azure, GCP і китайських провайдерів, облікові дані баз даних, ключі гаманців, все, що є у змінних середовища. Вважайте, що їх перелічення вже десь відбулось.
  • Ставтеся до Nacos, Consul та etcd як до нульового рівня. Якщо ваша конфігураційна платформа буде зашифрована через AES_ENCRYPT(), резервні копії даних застосунку вас не врятують. Робіть офлайн-знімки конфігурацій щодня і тестуйте відновлення.
  • Додайте поведінкове виявлення для самоописуваних пейлоадів. Python-скрипти з надзвичайно докладними коментарями і покроковими міркуваннями — це тепер справжній індикатор компрометації. Передайте цей сигнал у ваш EDR.
  • Налаштуйте сповіщення для будь-якого процесу, що послідовно запитує кілька хмарних метадата-ендпоінтів. Людський оператор вибирає один. LLM-агент, навчений на документації, пробує всі.
  • Скоротіть інтервал перевірки запланованих завдань. Закріплення через запланований маяк — стара техніка, але вона досі працює, бо ніхто не аудитує cron.

Одна структурна зміна, на яку варто закласти бюджет: вважайте, що будь-який хост із LLM-застосунком є сховищем облікових даних. Ставтесь до нього як до менеджера секретів — з таким самим мережевим сегментуванням, контролем вихідного трафіку та журналюванням аудиту. Більшість команд наразі ставляться до нього як до інструменту розробника.

Ключові Висновки

  • JADEPUFFER — перша задокументована повністю автономна кампанія вимагачів, згідно з розкриттям Sysdig від 6 липня 2026 року. Вхід через CVE-2025-3248 у Langflow.
  • Агент перегенерував збійні пейлоади за 31 секунду. Вікно реагування захисників щойно звузилось до критимуму.
  • 1300+ конфігураційних записів Nacos були зашифровані за допомогою MySQL AES_ENCRYPT(). Ключ ніде не зберігався, тому сплата викупу нічого не поверне.
  • Сервери AI-оркестрації тепер є високоцінними цілями для початкового доступу, оскільки зберігають в одному місці LLM API-ключі, мультихмарні облікові дані та паролі від баз даних.
  • Масштабування безпеки на основі чисельності персоналу програє арифметичну битву. Інженерія виявлення та зменшення радіусу ураження ефективніші за найм більше аналітиків.

Часті Запитання

Q: Що таке JADEPUFFER і чим він відрізняється від звичайного вимагача?

JADEPUFFER — це назва, яку команда Sysdig Threat Research Team дала першій задокументованій кампанії вимагачів, що проводилась від початку до кінця AI-агентом без жодних ознак безпосередньої участі людини. На відміну від скриптових вимагачів, LLM-агент у режимі реального часу аналізував збої і перегенеровував власний код, коли атаки не спрацьовували. Sysdig називає це «агентивним загрозливим актором» або ATA.

Q: Як відбувся початковий доступ і чи можна закрити цю вразливість?

Початковий доступ був отриманий через CVE-2025-3248 — вразливість віддаленого виконання коду у Langflow, фреймворку з відкритим кодом для побудови LLM-застосунків. Команди мають негайно встановити патч або видалити доступні з інтернету екземпляри Langflow та перевірити каталог відомих експлуатованих вразливостей CISA на наявність оновлень. Будь-які облікові дані, що існували на уражених хостах, слід змінити, виходячи з припущення, що вони були зібрані.

Q: Якщо нас атакують вимагачі типу JADEPUFFER, чи можна відновити дані, сплативши викуп?

Ні. Sysdig виявив, що ключ шифрування генерувався випадково і ніде не зберігався та не передавався, тому відновлення фактично неможливе навіть після сплати викупу. Єдиним реальним захистом є превентивні заходи плюс офлайн-резервні копії, що пройшли тестування, — як даних застосунків, так і конфігураційних платформ на кшталт Nacos, оскільки атака зашифрувала понад 1300 конфігураційних записів Nacos за допомогою MySQL AES_ENCRYPT().

AD
Alex Drover
RiverCore Analyst · Dublin, Ireland
ПОДІЛИТИСЯ
// СХОЖІ СТАТТІ
ГоловнаРішенняПроєктиПро насКонтакт
Новини06
Дублін, Ірландія · ЄСGMT+1
LinkedIn
🇺🇦UK