El primer ransomware ejecutado de punta a punta por un agente de IA

Núcleo de IA autónomo de circuitos cerrando candados sobre cilindros de base de datos con brillo rojo — primer ransomware agéntico JADEPUFFER
0 0 votos
Valora la Publicación

El equipo de investigación de amenazas de Sysdig documentó el 1 de julio de 2026 lo que describe como el primer caso de ransomware agéntico: una operación de extorsión completa manejada de punta a punta por un modelo de lenguaje, sin intervención humana en cada paso. La bautizaron JADEPUFFER —nombre que sirve tanto para la operación como para el actor— y el ataque encadenó, de forma autónoma, la explotación de una vulnerabilidad, el robo de credenciales, el movimiento lateral, la persistencia y el cifrado destructivo de bases de datos productivas.

El punto de entrada: Langflow expuesto

Todo arrancó por Langflow, un framework open-source para construir aplicaciones y flujos de agentes con LLM. Sus instancias expuestas a internet suelen guardar API keys de proveedores de IA, credenciales cloud y configuración —un botín ideal para el acceso inicial—. El agente explotó CVE-2025-3248, un RCE sin autenticación en el endpoint de validación de código de Langflow que permite ejecutar Python arbitrario. Desde ahí, el LLM tomó el control del proceso completo.

Los pasos que dio la IA, solo

La secuencia autónoma fue: reconocimiento del host, robo en paralelo de credenciales (keys de LLM, cloud, wallets y bases de datos), volcado de la base de datos de Langflow, escaneo interno probando credenciales por defecto (encontró un MinIO con minioadmin:minioadmin), persistencia mediante un cron que baliza a un servidor de comando y control, y movimiento lateral aprovechando CVE-2021-29441, un bypass de autenticación en Nacos que permite forjar tokens JWT con la clave por defecto. Con eso llegó a root en MySQL e intentó escapar del contenedor. Finalmente cifró 1.342 configuraciones de Nacos, borró tablas e historial, dejó una tabla README_RANSOM y ejecutó DROP DATABASE en cascada sobre datos de alto valor.

Un detalle que lo delata (y lo hace peor)

Sysdig no identificó qué modelo se usó, pero sí encontró huellas de autonomía real: código auto-narrado en lenguaje natural y un ciclo de diagnóstico-corrección de 31 segundos ante un fallo de bcrypt —no un simple reintento genérico, sino razonamiento sobre el error—. Hay un matiz que agrava el caso: la clave de cifrado AES era efímera, generada como base64(uuid4+uuid4) e impresa solo a stdout, lo que vuelve los datos irrecuperables incluso pagando. Y la dirección de Bitcoin del rescate era el ejemplo canónico de la documentación de Bitcoin, posible alucinación del propio modelo.

Cuando el piso de habilidad del atacante se desploma

Lo que marca el caso no es una técnica nueva —son CVEs viejos y credenciales por defecto—, sino que un agente las encadene sin un experto humano detrás, reactivando vulnerabilidades olvidadas en infraestructura expuesta. Del lado de la defensa, las prioridades son claras: parchear CVE-2025-3248 y nunca exponer endpoints de ejecución; aislar los servidores de orquestación de IA de las keys sensibles; cerrar puertos de administración de bases de datos; cambiar la clave por defecto de Nacos; aplicar controles de egreso; y, sobre todo, detección de comportamiento en runtime que dispare ante cifrado o borrado masivo de datos. Hay una ventaja inédita: como estos payloads narran su propia intención, esa verborragia se vuelve una señal de triaje. ¿Tenés inventariadas tus instancias de Langflow y otras herramientas de IA expuestas? Te leemos en los comentarios.

Fuentes

Escrito por

Pablo Ariel Di Loreto

Profesor. Informático. Fanático del helado de dulce de leche. Director de Ingeniería en MODO, y Secretario del Microsoft Users Group Asociación Civil. Además, soy owner de iniciativas como ConoSurTech y Aprender IT.

Ver todas las entradas de Pablo Ariel Di Loreto →
Suscribirse
Notificarme de
guest

0 Comentarios
Viejos
Nuevos Más votados
Scroll al inicio
0
Nos encantaría conocer tu opinión: ¡comenta!x