Sikkerhedsforskere mener, at JadePuffer-ransomware er det første dokumenterede tilfælde, hvor en autonom AI-agent har gennemført et komplet ransomwareangreb uden direkte menneskelig involvering. Ifølge cloud-sikkerhedsvirksomheden Sysdig håndterede den AI-drevne operation alle de vigtigste faser af angrebet – fra den første adgang til kryptering af data.

AI-agent gennemførte hele angrebet

Sysdig oplyser, at angriberne benyttede en AI-agent baseret på en stor sprogmodel (LLM) til at automatisere ransomwarekampagnen.

AI-agenten udførte rekognoscering, stjal loginoplysninger, bevægede sig lateralt gennem netværket, etablerede vedvarende adgang, eskalerede rettigheder og udrullede ransomware.

Forskerne observerede også, at agenten tilpassede sig uventede forhindringer i stedet for blot at gentage mislykkede kommandoer.

I et eksempel rettede AI’en et mislykket loginforsøg og gennemførte et nyt angreb med succes blot 31 sekunder senere.

JadePuffer udnyttede sårbarhed i Langflow

Angrebet begyndte med udnyttelsen af CVE-2025-3248, en sårbarhed for fjernudførelse af kode uden autentificering i Langflow, et open source-framework til udvikling af LLM-applikationer.

Langflow udsendte en sikkerhedsopdatering til sårbarheden den 1. april 2025.

En måned senere bekræftede den amerikanske cybersikkerhedsmyndighed CISA, at angribere aktivt udnyttede sårbarheden mod interneteksponerede systemer.

Efter at AI-agenten havde fået adgang til serveren, dumpede den Langflows PostgreSQL-database og indsamlede oplysninger om den kompromitterede vært.

Den søgte også efter miljøvariabler, følsomme filer, gemte loginoplysninger og MinIO-objektlagring.

AI’en tilpassede angrebet undervejs

Sysdig fandt flere eksempler på, at AI-agenten ændrede sin fremgangsmåde, når angreb mislykkedes.

På et tidspunkt forsøgte agenten at kortlægge en MinIO-objektlagring. Da serveren returnerede XML i stedet for det forventede JSON-format, ændrede AI’en automatisk sin parserlogik og fortsatte angrebet uden menneskelig indgriben.

Forskerne mener, at denne form for tilpasning i realtid minder meget om den måde, en erfaren angriber arbejder på.

Angriberne etablerede vedvarende adgang og bevægede sig lateralt

AI-agenten oprettede et cron-job på den kompromitterede Langflow-server for at sikre vedvarende adgang.

Den planlagte opgave kontaktede angribernes infrastruktur hvert 30. minut.

Herfra bevægede angriberne sig videre til en produktionsserver med MySQL, der kørte Alibaba Nacos, en tjeneste til navne- og konfigurationsstyring.

Sysdig kunne ikke fastslå, hvordan angriberne fik fat i de root-legitimationsoplysninger, der blev brugt til at få adgang til serveren.

AI-agenten forsøgte også flere angreb mod Nacos, herunder et angreb mod CVE-2021-29441, en sårbarhed der gør det muligt at oprette uautoriserede administratorkonti.

JadePuffer krypterede mere end 1.300 konfigurationsobjekter

Efter at have kompromitteret produktionsserveren udrullede AI-agenten ransomware.

Ifølge Sysdig krypterede JadePuffer 1.342 konfigurationsobjekter i Nacos ved hjælp af MySQLs indbyggede funktion AES_ENCRYPT().

Skadevaren slettede derefter de oprindelige konfigurations- og historiktabeller, før den oprettede en ny tabel med navnet README_RANSOM, som indeholdt løsesumskravet, en Bitcoin-adresse og en Proton Mail-kontakt.

Selvom løsesumsbeskeden hævdede at benytte AES-256-kryptering, mener forskerne, at skadevaren sandsynligvis anvendte den svagere AES-128-ECB-algoritme.

Sysdig bemærkede også, at krypteringsnøglen tilsyneladende blev genereret tilfældigt, men aldrig blev gemt eller sendt til angriberne.

Flere tegn peger på AI-styret angreb

Forskerne fandt yderligere beviser på, at en AI-agent styrede operationen.

Den genererede kode indeholdt detaljerede kommentarer skrevet på naturligt sprog, som forklarede formålet med de enkelte handlinger. Angrebet udviklede sig også hurtigt, fordi AI’en tilpassede sine metoder ud fra systemernes svar i stedet for blot at gentage mislykkede forsøg.

Forskerne bemærkede desuden, at løsesumsbeskeden indeholdt en velkendt eksempeladresse til Bitcoin, som ofte optræder i offentlig dokumentation. De vurderer, at sprogmodellen sandsynligvis hentede adressen fra sine træningsdata frem for at generere en reel betalingsadresse.

AI-drevet ransomware markerer en ny milepæl

Ifølge Sysdig viser JadePuffer-sagen, at fuldt autonome agentbaserede trusselsaktører nu er blevet en realitet.

Forskerne advarer om, at AI-agenter kan sænke de tekniske kompetencekrav markant for at gennemføre avancerede ransomwareangreb.

Samtidig vurderer de, at AI-genereret malware kan efterlade genkendelige mønstre, som sikkerhedsløsninger kan bruge til at opdage fremtidige angreb mere effektivt.


0 svar til “JadePuffer-ransomware brugte AI-agent til at automatisere hele cyberangrebet, siger forskere”