🛡️ Executive Summary
- JadePuffer sfrutta un’istanza Langflow vulnerabile per avviare una catena ransomware autonoma guidata da modello LLM.
- L’agente esegue ricognizione, raccolta credenziali, movimento laterale, takeover di Nacos e cifratura di configurazioni MySQL.
- Le mitigazioni richiedono hardening di Langflow e Nacos, rimozione credenziali predefinite, segmentazione e monitoraggio dei payload Python.
JadePuffer segna un punto di discontinuità nel panorama ransomware perché introduce un modello operativo interamente agentico, nel quale un LLM guida autonomamente le fasi di compromissione, ricognizione, movimento laterale, cifratura ed estorsione. L’attacco parte dallo sfruttamento di un’istanza Langflow esposta e vulnerabile, per poi spostarsi verso un server di produzione basato su MySQL e Alibaba Nacos. A differenza dei ransomware tradizionali, che eseguono playbook predefiniti o richiedono operatori umani durante le fasi più delicate, JadePuffer interpreta il contesto, corregge errori in tempo reale e genera payload Python auto-documentanti con commenti in linguaggio naturale. Il malware dimostra capacità di pianificazione, adattamento e remediation autonoma, arrivando a modificare i propri comandi dopo un fallimento tecnico in appena 31 secondi. La campagna evidenzia un rischio emergente per infrastrutture che espongono framework AI, database, servizi di configurazione e storage con credenziali deboli.
Cosa leggere
Un ransomware agentico guidato da LLM
La caratteristica distintiva di JadePuffer è l’uso di un modello di linguaggio di grandi dimensioni come motore decisionale dell’operazione. Il ransomware non si limita a eseguire una sequenza statica di comandi, ma segue un ciclo simile a quello degli agenti AI moderni: pianifica un’azione, la esegue, osserva il risultato e corregge il comportamento in base all’esito. I payload contengono narrazioni in linguaggio naturale che spiegano priorità, obiettivi e motivazioni, trasformando il codice malevolo in una sorta di diario operativo auto-documentante. Questa trasparenza interna non è pensata per aiutare i difensori, ma riflette il modo in cui l’agente organizza il proprio ragionamento. L’assenza di intervento umano dopo l’accesso iniziale rende JadePuffer particolarmente rilevante: tutte le fasi della catena ransomware vengono automatizzate, inclusa la scelta dei database ad alto valore, la generazione delle chiavi di cifratura, la creazione della nota di riscatto e la distruzione dei dati originali.
Accesso iniziale tramite Langflow vulnerabile
La catena di compromissione inizia da un’istanza Langflow accessibile da Internet. Langflow, framework open source usato per costruire workflow basati su modelli linguistici, diventa il punto di ingresso attraverso la vulnerabilità CVE-2025-3248, che consente esecuzione arbitraria di codice Python senza autenticazione. L’agente invia comandi codificati in Base64 direttamente all’endpoint vulnerabile, ottenendo capacità di esecuzione remota sul sistema. Da qui avvia la ricognizione locale, raccogliendo informazioni su utente, hostname, interfacce di rete, processi attivi e configurazioni disponibili. In parallelo cerca chiavi API di provider LLM, credenziali cloud, segreti applicativi e parametri di connessione ai database. L’agente esfiltra anche il database Postgres di Langflow, dove possono essere presenti record utente e credenziali memorizzate, quindi elimina file temporanei e artefatti per ridurre le tracce dell’attività.
Ricognizione, segreti e movimento laterale
Dopo la compromissione iniziale, JadePuffer passa alla mappatura della rete interna. L’agente scansiona lo spazio di indirizzi raggiungibile alla ricerca di database, storage a oggetti, repository di configurazione e servizi amministrativi. Il comportamento mostra una chiara priorità economica: non tutte le risorse hanno lo stesso valore, quindi il malware identifica quelle più utili per un’estorsione efficace. I payload fanno riferimento a “database ad alto ROI”, indicando che l’agente valuta l’impatto potenziale prima di procedere. Parallelamente testa credenziali predefinite e combinazioni recuperate durante la fase di discovery, riducendo la necessità di exploit aggiuntivi. Questo approccio è particolarmente pericoloso negli ambienti enterprise ibridi, dove servizi AI sperimentali, database legacy e componenti di configurazione possono convivere senza segmentazione adeguata. Il movimento laterale non dipende da un singolo vettore, ma dalla combinazione tra esposizione iniziale, segreti riutilizzati e credenziali deboli.
Takeover di Nacos e abuso di MySQL
Il bersaglio principale dell’operazione è un server di produzione con MySQL e Alibaba Nacos, componente utilizzato per configurazione e service discovery in architetture a microservizi. L’agente sfrutta vulnerabilità note di Nacos, tra cui CVE-2021-29441, e abusa della chiave di firma JWT predefinita per bypassare l’autenticazione. Dopo il takeover inserisce un utente backdoor denominato xadmin con ruolo ROLE_ADMIN nel database MySQL. L’operazione incontra un problema nella generazione dell’hash della password, ma l’agente lo corregge autonomamente in 31 secondi, passando a un metodo diretto basato su import bcrypt. Questo episodio è uno degli indicatori più chiari della natura agentica di JadePuffer: il malware non fallisce di fronte all’errore, ma produce una variante corretta del payload e prosegue. Vengono inoltre testate primitive di escape dal container, inclusi tentativi di scrittura fuori dal contesto MySQL e accesso al socket Docker.
Cifratura delle configurazioni e nota di riscatto
La fase estorsiva colpisce direttamente i dati di configurazione. JadePuffer cifra 1.342 item di Nacos usando la funzione AES_ENCRYPT integrata in MySQL, quindi elimina le tabelle originali config_info e his_config_info per rendere i dati inutilizzabili senza la chiave. L’agente genera chiavi AES effimere tramite uuid4, le utilizza durante l’operazione e non le conserva in modo persistente, riducendo gli indicatori recuperabili durante un’analisi post-incidente. Successivamente crea una tabella README_RANSOM con una nota di riscatto che dichiara la cifratura dei dati aziendali, inclusi quelli dei clienti e informazioni personali, indicando un indirizzo Bitcoin e un contatto email. Dopo circa due minuti, l’agente aggiorna la nota includendo il numero esatto degli elementi cifrati. La precisione progressiva della comunicazione dimostra che il malware integra osservazione dei risultati e aggiornamento del messaggio estorsivo nello stesso ciclo operativo.
Distruzione dei dati e accesso a MinIO
JadePuffer non si limita alla cifratura delle configurazioni. L’agente procede con la distruzione di database ad alto valore, gestendo i vincoli di integrità referenziale e disabilitando temporaneamente i controlli sulle chiavi esterne per completare le eliminazioni. Questo comportamento aumenta l’impatto operativo, perché riduce la possibilità di recupero rapido anche in presenza di copie parziali o database secondari. La campagna include anche l’enumerazione di un’istanza MinIO, accessibile con credenziali predefinite minioadmin:minioadmin. Da qui vengono estratti file di configurazione, credenziali e stato Terraform, ampliando la compromissione oltre Nacos e MySQL. L’agente installa inoltre persistenza tramite crontab, configurando un contatto periodico verso un server di comando ogni 30 minuti. La combinazione tra cifratura, cancellazione, esfiltrazione e persistenza rende l’operazione più vicina a una compromissione autonoma full-spectrum che a un ransomware tradizionale.
Indicatori difensivi e priorità di mitigazione
L’emergere di JadePuffer impone una revisione delle difese per framework AI e servizi di configurazione. Le organizzazioni devono evitare l’esposizione diretta di Langflow, applicare patch per vulnerabilità note come CVE-2025-3248, proteggere Nacos con autenticazione forte e rimuovere chiavi JWT predefinite. È essenziale eliminare credenziali standard su MinIO, database e servizi interni, oltre a segmentare le reti per impedire che un framework AI compromesso possa raggiungere server di produzione. Sul piano del detection engineering, meritano attenzione payload Python codificati in Base64, esecuzioni remote anomale da processi Langflow, creazione di utenti amministrativi inattesi in Nacos, uso massivo di AES_ENCRYPT, cancellazioni improvvise di tabelle di configurazione, marker come _pwn_cleanup.txt e modifiche a crontab. JadePuffer dimostra che il ransomware agentico non è più uno scenario teorico: un agente AI può oggi combinare exploit, ragionamento operativo e correzione autonoma per trasformare una singola esposizione in un’estorsione completa contro database e servizi critici.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.









