Sicherheitsforscher gehen davon aus, dass JadePuffer-Ransomware den ersten dokumentierten Fall darstellt, bei dem ein autonomer KI-Agent einen vollständigen Ransomware-Angriff ohne direkte menschliche Beteiligung durchgeführt hat. Laut dem Cloud-Sicherheitsunternehmen Sysdig übernahm die KI-gestützte Operation alle wesentlichen Phasen des Angriffs – vom ersten Zugriff bis zur Verschlüsselung der Daten.

KI-Agent führte den gesamten Angriff aus

Nach Angaben von Sysdig setzten die Angreifer einen KI-Agenten auf Basis eines Large Language Models (LLM) ein, um die Ransomware-Kampagne zu automatisieren.

Der KI-Agent führte Aufklärungsmaßnahmen durch, stahl Zugangsdaten, bewegte sich lateral durch das Netzwerk, etablierte dauerhaften Zugriff, weitete Berechtigungen aus und stellte die Ransomware bereit.

Die Forscher beobachteten außerdem, dass sich der Agent an unerwartete Hindernisse anpasste, anstatt fehlgeschlagene Befehle einfach zu wiederholen.

In einem Fall korrigierte die KI einen fehlgeschlagenen Anmeldeversuch und startete den Angriff bereits nach nur 31 Sekunden erfolgreich erneut.

JadePuffer nutzte Schwachstelle in Langflow aus

Der Angriff begann mit der Ausnutzung von CVE-2025-3248, einer Schwachstelle zur Remote-Code-Ausführung ohne Authentifizierung in Langflow, einem Open-Source-Framework für die Entwicklung von LLM-Anwendungen.

Langflow veröffentlichte am 1. April 2025 ein Sicherheitsupdate für die Schwachstelle.

Einen Monat später bestätigte die US-amerikanische Cybersicherheitsbehörde CISA, dass Angreifer die Schwachstelle aktiv gegen öffentlich erreichbare Systeme ausnutzten.

Nach dem Eindringen in den Server exportierte der KI-Agent die PostgreSQL-Datenbank von Langflow und sammelte Informationen über das kompromittierte System.

Außerdem suchte er nach Umgebungsvariablen, sensiblen Dateien, gespeicherten Zugangsdaten und MinIO-Objektspeichern.

KI passte ihre Methoden während des Angriffs an

Sysdig dokumentierte mehrere Beispiele dafür, dass der KI-Agent seine Vorgehensweise nach fehlgeschlagenen Angriffen anpasste.

Während einer Phase versuchte der Agent, einen MinIO-Objektspeicher zu analysieren. Als der Server statt des erwarteten JSON-Formats XML zurücklieferte, änderte die KI automatisch ihre Parsing-Logik und setzte den Angriff ohne menschliches Eingreifen fort.

Nach Einschätzung der Forscher ähnelt diese Form der Anpassung in Echtzeit dem Verhalten eines erfahrenen Angreifers.

Angreifer etablierten dauerhaften Zugriff und bewegten sich lateral

Der KI-Agent richtete auf dem kompromittierten Langflow-Server einen Cron-Job ein, um einen langfristigen Zugriff sicherzustellen.

Die geplante Aufgabe kontaktierte alle 30 Minuten die Infrastruktur der Angreifer.

Von dort aus wechselten die Angreifer auf einen produktiven MySQL-Server mit Alibaba Nacos, einem Dienst für Namens- und Konfigurationsverwaltung.

Sysdig konnte nicht feststellen, wie die Angreifer an die Root-Zugangsdaten gelangten, die sie für den Zugriff auf den Server nutzten.

Der KI-Agent versuchte außerdem mehrere Angriffe auf Nacos, darunter einen Angriff auf CVE-2021-29441, eine Schwachstelle zur Umgehung der Authentifizierung, mit der sich unbefugte Administratorkonten erstellen lassen.

JadePuffer verschlüsselte mehr als 1.300 Konfigurationsobjekte

Nachdem der produktive Server kompromittiert worden war, stellte der KI-Agent die Ransomware bereit.

Laut Sysdig verschlüsselte JadePuffer 1.342 Nacos-Konfigurationsobjekte mithilfe der integrierten MySQL-Funktion AES_ENCRYPT().

Anschließend löschte die Schadsoftware die ursprünglichen Konfigurations- und Verlaufstabellen und erstellte eine neue Tabelle mit dem Namen README_RANSOM, die die Lösegeldforderung, eine Bitcoin-Adresse und eine Proton-Mail-Kontaktadresse enthielt.

Obwohl in der Lösegeldforderung von einer AES-256-Verschlüsselung die Rede war, gehen die Forscher davon aus, dass die Schadsoftware wahrscheinlich den schwächeren Algorithmus AES-128-ECB verwendete.

Sysdig stellte außerdem fest, dass der Verschlüsselungsschlüssel offenbar zufällig erzeugt, jedoch weder gespeichert noch an die Angreifer übertragen wurde.

Weitere Hinweise auf eine KI-gesteuerte Operation

Die Forscher fanden weitere Anzeichen dafür, dass ein KI-Agent die gesamte Operation steuerte.

Der erzeugte Code enthielt ausführliche Kommentare in natürlicher Sprache, die die Gründe für einzelne Aktionen erklärten. Außerdem entwickelte sich der Angriff sehr schnell weiter, da die KI ihre Methoden anhand der Systemreaktionen anpasste, anstatt fehlgeschlagene Schritte einfach zu wiederholen.

Die Forscher bemerkten zudem, dass die Lösegeldforderung eine bekannte Bitcoin-Beispieladresse enthielt, die häufig in öffentlich zugänglicher Dokumentation verwendet wird. Sie gehen davon aus, dass das Sprachmodell diese Adresse aus seinen Trainingsdaten übernommen hat, anstatt eine echte Zahlungsadresse zu erzeugen.

KI-gestützte Ransomware markiert einen neuen Meilenstein

Nach Einschätzung von Sysdig zeigt der Fall JadePuffer, dass vollständig autonome agentenbasierte Bedrohungsakteure inzwischen Realität geworden sind.

Die Forscher warnen, dass KI-Agenten die technischen Anforderungen für die Durchführung komplexer Ransomware-Angriffe erheblich senken könnten.

Gleichzeitig gehen sie davon aus, dass KI-generierte Schadsoftware charakteristische Muster hinterlassen könnte, die Sicherheitslösungen künftig zur zuverlässigeren Erkennung solcher Angriffe nutzen können.


0 Kommentare zu „JadePuffer-Ransomware nutzte KI-Agenten zur Automatisierung eines vollständigen Cyberangriffs, sagen Forscher“