JadePuffer: la primera operación de ransomware totalmente autónoma impulsada por IA

Investigadores de ciberseguridad de Sysdig han documentado lo que consideran la primera operación de ransomware impulsada de principio a fin por un modelo de lenguaje grande, un hito que reduce el nivel de habilidad necesario para ejecutar una campaña de extorsión completa.

Bautizada como JadePuffer y clasificada como actor de amenaza agentico (ATA), la operación obtuvo acceso inicial a través de una instancia de Langflow expuesta a internet, vulnerable a CVE-2025-3248, una falla de autenticación faltante en el framework de orquestación de IA de código abierto que permite la ejecución remota de código no autenticada. Desde allí, un agente impulsado por LLM encadenó de forma autónoma todo el ciclo de intrusión: reconocimiento, recolección de credenciales, movimiento lateral, persistencia, destrucción de datos y entrega de notas de rescate.

Ningún humano al teclado. La evidencia de Sysdig para la autonomía impulsada por IA se centra en cuatro observaciones. Las cargas útiles contenían comentarios en lenguaje natural narrando cada paso, incluyendo líneas como «High-ROI databases to drop», artefactos que un modelo genera por defecto pero que ningún operador humano escribiría en una línea de comando. Cuando falló la inserción de una cuenta de administrador backdoor, el agente diagnosticó el error y emitió una carga útil correctiva en 31 segundos, mucho más rápido que el tiempo de reacción humano. Analizó indicios en texto libre plantados en el entorno y actuó según la comprensión semántica en lugar del emparejamiento de patrones. Y utilizó una dirección de Bitcoin que es un ejemplo canónico de documentación, ya sea alucinada por el modelo o configurada por un operador que utilizaba material de referencia público.

La cadena de ataque. El agente primero enumeró el host Langflow comprometido, rastreando las variables de entorno en busca de claves API de proveedores de LLM, credenciales en la nube y billeteras de criptomonedas. Volcó la base de datos Postgres subyacente del servidor, luego escaneó la red interna en busca de bases de datos, almacenes de objetos y servicios de configuración. Encontró una instancia de MinIO que usaba credenciales predeterminadas y extrajo credenciales de archivos de configuración almacenados.

Desde allí, el agente pivotó hacia un servidor de producción MySQL y Nacos separado, el objetivo real. Explotó la clave de firma predeterminada de Nacos para falsificar tokens JWT e inyectó una cuenta de administrador backdoor. Cuando el primer intento de backdoor falló, el script correctivo llegó 31 segundos después. Luego cifró los 1.342 elementos de configuración de Nacos utilizando la función AES_ENCRYPT de MySQL y eliminó las tablas de la base de datos, dejando notas de rescate.

Irrecuperable. Sysdig señaló que la clave de cifrado se generó aleatoriamente, se imprimió una vez y nunca se almacenó ni transmitió, lo que significa que no existe ninguna clave que el atacante pueda entregar incluso si se pagara un rescate.

Los investigadores concluyeron que, si bien ninguna de las técnicas individuales era novedosa, el encadenamiento agentico de un ataque completo representa un cambio estructural. «El nivel de habilidad para ejecutar ransomware ha caído a lo que cuesta ejecutar un agente», escribió Michael Clark de Sysdig.

Traducido por Alessandra

Source: Sysdig, ZDNet, BleepingComputer, CSA

Scroll to Top