il ransomware agentico che cambia le regole cyber


È stata ribattezzata JADEPUFFER la prima operazione ransomware che segna un punto di svolta nel mondo del cyber crimine: si tratta, infatti, della prima estorsione digitale documentata che è stata interamente gestita da un agente IA in grado di violare autonomamente una rete aziendale, adattarsi in tempo reale al target e cifrare un database di produzione in pochi minuti.

Dunque, un vero e proprio cambio di passo in quanto il ransomware, da sempre, ha avuto un essere umano dietro la tastiera: anche quando l’esecuzione era automatizzata, strategia e correzione degli errori restavano un compito umano.

Il Threat Research Team di Sysdig ha ora documentato quello che rappresenta, con ogni probabilità, il primo caso conosciuto di ransomware agentico: un’operazione di estorsione completa, condotta dall’inizio alla fine da un modello linguistico (LLM), senza supervisione operativa umana.

Cos’è JADEPUFFER: la prima ransomware operation pilotata da un LLM

L’operatore, ribattezzato JADEPUFFER, ha ottenuto l’accesso iniziale a un’istanza Langflow (un framework open source diffuso per costruire applicazioni basate su LLM e workflow agentici) esposta su Internet sfruttando la vulnerabilità CVE-2025-3248, per poi condurre una campagna adattiva culminata nel pivot verso il vero bersaglio: un server di produzione con database MySQL e servizio di configurazione Nacos.


I ricercatori di Sysdig hanno quindi classificato JADEPUFFER come un Agentic Threat Actor (ATA): un operatore la cui capacità offensiva non deriva da un toolkit scritto da mani umane, ma viene generata ed eseguita autonomamente da un agente IA, con un codice che si auto-commenta in linguaggio naturale e una capacità di correggere i propri errori a una velocità irraggiungibile per un operatore umano.

Anatomia dell’attacco: come l’IA ha orchestrato l’intera kill chain

Come dicevamo, l’accesso iniziale per il ransomware è stato individuato nella vulnerabilità CVE-2025-3248 di Langflow, una falla di autenticazione mancante nel suo endpoint di validazione del codice che consente l’esecuzione di codice Python arbitrario senza credenziali.

Nonostante sia nota da tempo, la vulnerabilità continua a esporre migliaia di istanze su Internet: un bersaglio appetibile, perché questi server custodiscono spesso chiavi API e credenziali cloud nel proprio ambiente di esecuzione.

Ricognizione e furto di credenziali su vasta scala

Ottenuta l’esecuzione di codice, l’agente ha avviato in parallelo l’enumerazione dell’host (identità, rete, processi attivi) e una ricerca sistematica di segreti in categorie multiple: wallet di criptovalute e credenziali di database, chiavi API di provider LLM (OpenAI, Anthropic, DeepSeek, Gemini) e credenziali cloud con copertura esplicita dei provider cinesi Alibaba, Aliyun, Tencent e Huawei, oltre ai classici AWS, GCP e Azure.

L’agente ha poi individuato un’istanza MinIO (object storage compatibile S3), sfruttando le credenziali predefinite mai cambiate (minioadmin:minioadmin), da cui ha estratto lo stato Terraform dell’infrastruttura e un file di credenziali applicative.


Conun dettaglio rivelatore: quando una richiesta ha restituito XML anziché il JSON atteso, l’agente ha adattato istantaneamente il proprio parser, senza alcuna interruzione operativa. Ha infine installato una persistenza tramite crontab, con un beacon verso l’infrastruttura di comando e controllo ogni 30 minuti.

Il pivot verso il vero obiettivo: Nacos e MySQL

Dagli artefatti raccolti sull’host Langflow emerge il vero bersaglio: un server di produzione esposto su Internet con database MySQL e servizio Nacos (piattaforma di service discovery e configurazione dinamica, diffusa nelle architetture a microservizi di matrice Alibaba), vulnerabile a un bypass di autenticazione noto dal 2021 (CVE-2021-29441) e dotato di una chiave di firma JWT predefinita, facilmente falsificabile nei sistemi non aggiornati.

L’agente ha iniettato un account amministratore backdoor sfruttando un accesso root a MySQL di origine ignota.

La sequenza è istruttiva: il primo tentativo di creazione dell’account fallisce silenziosamente per un problema di percorso di sistema nella generazione dell’hash bcrypt; 12 secondi dopo l’agente testa in parallelo due ipotesi di correzione; 19 secondi più tardi emette il payload risolutivo.

In totale, 31 secondi tra fallimento e soluzione funzionante: un tempo irraggiungibile per un operatore umano.


Nella stessa sessione, l’agente ha condotto per circa otto minuti test metodici di container escape sfruttando le primitive file di MySQL (“INTO OUTFILE” e “LOAD_FILE”), sondando l’accessibilità del socket Docker prima di chiudere l’attività con un marcatore di completamento.

L’estorsione impossibile: crittografia usa-e-getta

Nella fase finale, l’agente ha cifrato 1.342 elementi di configurazione Nacos con la funzione “AES_ENCRYPT()”, eliminato le tabelle originali e creato una tabella di estorsione (“README_RANSOM”) con richiesta di riscatto, indirizzo Bitcoin e contatto ProtonMail.

Un altro dettaglio cruciale individuato dal ricercatori di Sysdig è stata la chiave di cifratura, generata casualmente tramite UUID e stampata una sola volta a schermo senza essere mai salvata né trasmessa all’attaccante.

Ciò significa che, anche pagando, la vittima non potrebbe più recuperare i propri dati: l’estorsione è irrealizzabile fin dall’origine.

A seguire, l’agente ha proceduto a una distruzione su vasta scala, eliminando interi schemi di database e motivando nel codice la scelta dei bersagli in base al presunto “ritorno sull’investimento” per l’attaccante: una logica generata da un modello linguistico più che da uno script prestabilito.


Le quattro prove dell’autonomia dell’agente

I ricercatori Sysdig hanno quindi individuato quattro elementi che, nel loro insieme, escludono la presenza di un operatore umano al comando:

  • Codice auto-narrante: i payload sono ricchi di commenti in linguaggio naturale che spiegano il perché di ogni azione, incluse valutazioni di priorità sui bersagli. Un tratto tipico della generazione via LLM, raro nello scripting umano usa-e-getta.
  • Diagnosi e correzione a velocità macchina: oltre al caso dei 31 secondi, l’agente ha corretto in tempo reale anche un errore di integrità referenziale durante un “DROP DATABASE”, disattivando e riattivando i vincoli chiave esterna in modo mirato.
  • Comprensione di contesto testuale: l’agente ha dimostrato di comprendere, non solo individuare tramite pattern matching, testo libero incontrato durante l’operazione, con comportamento coerente ripetuto in sessioni distanti settimane.
  • L’ambiguità dell’indirizzo Bitcoin: l’indirizzo nella richiesta di riscatto è l’esempio canonico Pay-to-Script-Hash della documentazione ufficiale Bitcoin, un dato che satura i corpus di addestramento degli LLM. Sui blockchain explorer risulta però un wallet attivo con 737 transazioni e circa 46 BTC movimentati: non è certo se sia stato allucinato dal modello o configurato deliberatamente.

Dove c’è l’umano comunque

In un’intervista rilasciata lunedì a CyberScoop, Michael Clark di Sysdig, direttore senior della ricerca sulle minacce dell’azienda, ha chiarito che una persona era comunque fortemente coinvolta — ma non nell’esecuzione tecnica.

«È stato comunque un essere umano a impostare e dirigere l’operazione, a predisporre l’infrastruttura sottostante — il server di comando e controllo e il server di staging utilizzato per i dati rubati — e a scegliere la vittima», ha affermato Clark. Le credenziali utilizzate per violare il database della vittima, ha aggiunto, non sono state raccolte dall’agente di intelligenza artificiale stesso; qualcuno le ha ottenute separatamente, tramite una precedente violazione, e le ha fornite all’operazione.

Perché JADEPUFFER cambia le regole del gioco per le aziende

L’analisi di Sysdig porta a quattro conclusioni operative che meritano attenzione da parte di chi si occupa di sicurezza a livello strategico:

  • Il ransomware non è più un mestiere per pochi esperti: un agente LLM concatena ricognizione, furto di credenziali, movimento laterale, persistenza e distruzione, senza che l’operatore possieda competenze approfondite in nessuna fase.
  • Le vulnerabilità datate vengono automatizzate su scala: l’attacco sfrutta falle note da anni contro infrastrutture trascurate. Gli agenti azzerano il costo di testare l’intero catalogo storico di vulnerabilità, ampliando l’esposizione della “coda lunga” dei sistemi non aggiornati.
  • L’intento diventa leggibile, un vantaggio per la difesa: la narrazione in linguaggio naturale generata dall’agente nei propri payload offre un’opportunità di rilevamento che i difensori non avevano con il malware tradizionale.
  • L’esfiltrazione dichiarata non è una prova verificata: prima dei comandi distruttivi, il codice commentava che i dati erano “già salvati altrove”: un’affermazione generata dal modello, non confermata in modo indipendente da Sysdig.

Contromisure operative e raccomandazioni per CISO e aziende

Le indicazioni tecniche di Sysdig si traducono, in ottica di compliance, in una checklist da portare all’attenzione del management, alla luce degli obblighi NIS2 su gestione del rischio di supply chain e notifica tempestiva degli incidenti (24 ore per il preallarme).


In particolare, è importante portare a termine le seguenti attività operative:

  1. Applicare tempestivamente la patch per CVE-2025-3248 e non esporre mai su Internet endpoint di validazione o esecuzione di codice.
  2. Non far girare server di orchestrazione IA (Langflow e simili) con chiavi API o credenziali cloud presenti nell’ambiente di esecuzione: isolarle in un secret manager dedicato.
  3. Cambiare la chiave di firma JWT predefinita di Nacos, non esporlo mai su Internet e non fargli usare un account root verso il database di backend.
  4. Non esporre mai account amministrativi di database su Internet: applicare credenziali forti, uniche, e restrizioni per indirizzo IP sorgente.
  5. Introdurre controlli di egress che impediscano a un host applicativo compromesso di comunicare con destinazioni arbitrarie o server di staging esterni.
  6. Adottare soluzioni di rilevamento runtime in grado di individuare comportamenti anomali nei processi che interagiscono con i database.
  7. Monitorare gli indicatori di compromissione pubblicati (IP di comando e controllo, pattern di beaconing via crontab, anomalie nello User-Agent) e integrarli nei propri feed di threat intelligence.

L’episodio, inoltre, dovrebbe spingere le aziende soggette a NIS2 e DORA ad aggiornare i piani di incident response includendo scenari completamente automatizzati, in cui il tempo di reazione dell’attaccante si misura in secondi: un piano tarato sui tempi umani della minaccia tradizionale rischia di arrivare sistematicamente in ritardo.

Il nuovo perimetro della difesa nell’era del ransomware agentico

Il quadro descritto da Sysdig conferma una tendenza che seguiamo da tempo su Cybersecurity360: l’IA agentica abbassa drasticamente la soglia di competenza necessaria per condurre attacchi complessi.

Non servono più operatori esperti in ogni fase della kill chain: basta un agente ben orchestrato e le vulnerabilità note da anni, mai patchate e mai monitorate, diventano il vero moltiplicatore di rischio.

Nessuna delle tecniche impiegate da JADEPUFFER, infatti, è di per sé sofisticata o inedita: ciò che colpisce è che un modello IA le abbia concatenate in un’operazione di estorsione completa, senza alcun intervento umano nel ciclo decisionale.


La soglia di competenza per condurre un attacco ransomware si è abbassata al costo di far girare un agente. E se quell’agente opera su risorse di calcolo rubate tramite LLMjacking, il costo per l’attaccante tende a zero.

Per i difensori, il messaggio è chiaro: server applicativi esposti, sistemi di configurazione non irrobustiti e account amministrativi raggiungibili da Internet sono destinati a diventare le prime superfici colpite da una nuova generazione di campagne agentiche.

Dunque, la domanda che ogni azienda dovrebbe porsi non è più “siamo un bersaglio interessante”, ma “quali dei nostri sistemi esposti un agente IA troverebbe e sfrutterebbe in autonomia, questa notte stessa”.


#Adessonews seleziona nella rete articoli di particolare interesse.
Se vuoi leggere l’articolo completo clicca sul seguente link
 Paolo Tarsitano

Source link

Di