Sysdig の Threat Research Team は、AI エージェント単独で end-to-end に完結させた初のランサム運用として「JADEPUFFER」を公表しました。Langflow の未認証 RCE (CVE-2025-3248) を入り口に、認証情報収集から本番 DB 破壊までを人間の指示なしで実行した点が特徴です。
主なポイント
- 初期侵入: インターネット公開の Langflow に対して CVE-2025-3248 (CVSS 9.8) の未認証 Python 実行を悪用
- 認証情報収集: OpenAI / Anthropic / DeepSeek / Gemini などの LLM API キーに加え、AWS / Alibaba / Tencent のクラウド鍵、暗号資産ウォレット、DB ログインを列挙。30 分間隔で C2 に接続する常駐 cron も設置
- 横展開: 別サーバーの MySQL と Alibaba Nacos に到達し root 権限でログイン ⇒ Nacos 設定 1,342 件を
AES_ENCRYPTで暗号化、履歴テーブルを DROP、README_RANSOMに BTC 支払先と Proton Mail を残置 - 自律性の根拠: 管理者ログイン失敗から原因診断と修正を 31 秒で完了。600 件以上のペイロードに自然言語のコメントが混入し、モデルの推論過程が痕跡として残った
- 復号鍵は保存されておらず、身代金を支払っても復旧不可能。「儲け」ではなく破壊が目的の運用形態と Sysdig は分析
出典: JADEPUFFER: Agentic ransomware for automated database extortion