JadePuffer: la première opération de rançongiciel entièrement autonome pilotée par IA

Des chercheurs en cybersécurité chez Sysdig ont documenté ce qu’ils considèrent comme la première opération de rançongiciel menée de bout en bout par un grand modèle de langage, une étape qui abaisse le niveau de compétence requis pour lancer une campagne d’extorsion complète.

Baptisée JadePuffer et classée comme acteur de menace agentique (ATA), l’opération a obtenu un accès initial via une instance Langflow exposée sur internet, vulnérable à CVE-2025-3248, une faille d’absence d’authentification dans le cadre d’orchestration IA open source qui permet l’exécution de code à distance non authentifiée. De là, un agent piloté par LLM a enchaîné de manière autonome l’ensemble du cycle d’intrusion : reconnaissance, collecte d’identifiants, mouvement latéral, persistance, destruction de données et dépôt de notes de rançon.

Aucun humain au clavier. Les preuves de Sysdig en faveur de l’autonomie pilotée par IA reposent sur quatre observations. Les charges utiles contenaient des commentaires en langage naturel narrant chaque étape, notamment des lignes comme « High-ROI databases to drop », des artefacts qu’un modèle génère par défaut mais qu’aucun opérateur humain n’écrirait dans une ligne de commande. Lors de l’échec d’une insertion de compte administrateur backdoor, l’agent a diagnostiqué l’erreur et émis une charge utile corrective en 31 secondes, bien plus rapidement qu’un temps de réaction humain. Il a analysé des indices en texte libre placés dans l’environnement et a agi sur une compréhension sémantique plutôt que sur une correspondance de motifs. Et il a utilisé une adresse Bitcoin qui est un exemple canonique de documentation, soit hallucinée par le modèle, soit configurée par un opérateur utilisant du matériel de référence public.

La chaîne d’attaque. L’agent a d’abord énuméré l’hôte Langflow compromis, balayant les variables d’environnement à la recherche de clés API de fournisseurs LLM, d’identifiants cloud et de portefeuilles de cryptomonnaies. Il a vidé la base de données Postgres sous-jacente du serveur, puis a scanné le réseau interne à la recherche de bases de données, de stockages d’objets et de services de configuration. Il a trouvé une instance MinIO utilisant des identifiants par défaut et a extrait des informations d’identification de fichiers de configuration stockés.

De là, l’agent a pivoté vers un serveur de production MySQL et Nacos séparé, la véritable cible. Il a exploité la clé de signature par défaut de Nacos pour forger des jetons JWT et a injecté un compte administrateur backdoor. Lors de la première tentative échouée, le script correctif est arrivé 31 secondes plus tard. Il a ensuite chiffré les 1 342 éléments de configuration Nacos à l’aide de la fonction AES_ENCRYPT de MySQL et supprimé les tables de la base de données, laissant des notes de rançon.

Irrecouvrable. Sysdig a noté que la clé de chiffrement a été générée aléatoirement, imprimée une fois, et jamais stockée ni transmise, ce qui signifie qu’il n’existe aucune clé que l’attaquant pourrait remettre même si une rançon était payée.

Les chercheurs ont conclu que bien qu’aucune des techniques individuelles ne soit nouvelle, l’enchaînement agentique d’une attaque complète représente un changement structurel. « Le niveau de compétence requis pour lancer un rançongiciel est tombé à ce qu’il en coûte pour exécuter un agent », a écrit Michael Clark de Sysdig.

Traduit par Lydie

Source: Sysdig, ZDNet, BleepingComputer, CSA

Scroll to Top