I ricercatori di Sysdig hanno documentato quello che definiscono il primo attacco ransomware completamente orchestrato da un agente basato su un Large Language Model (LLM), senza alcun intervento umano durante le varie fasi dell’operazione. Il malware, battezzato JadePuffer, ha eseguito istruzioni predefinite, ma soprattutto ha dimostrato capacità di adattamento, ragionamento e decisione che fino a poco tempo fa sembravano appartenere esclusivamente agli operatori umani.

L’intera catena di compromissione è iniziata sfruttando la vulnerabilità CVE-2025-3248, un grave difetto di autenticazione presente in Langflow, piattaforma open source utilizzata per sviluppare workflow basati su modelli linguistici. La falla consente a un aggressore remoto di eseguire codice Python arbitrario senza autenticazione, aprendo di fatto la porta al controllo completo del sistema.

Una volta ottenuto l’accesso iniziale, JadePuffer ha avviato una sequenza completamente automatizzata di ricognizione dell’infrastruttura. L’agente ha cercato credenziali cloud, chiavi API per servizi di intelligenza artificiale, wallet di criptovalute, dati di accesso ai database e informazioni sensibili relative ai principali provider internazionali, includendo anche piattaforme cinesi come Alibaba Cloud, Aliyun, Tencent Cloud e Huawei Cloud oltre ai tradizionali AWS, Microsoft Azure e Google Cloud Platform.

Per garantire la persistenza all’interno del sistema compromesso, il malware ha creato un’attività pianificata tramite crontab, configurata per ristabilire periodicamente la comunicazione con l’infrastruttura controllata dagli attaccanti ogni trenta minuti. Si tratta di una tecnica ben nota nel panorama delle minacce informatiche, ma ciò che distingue questo caso è l’autonomia con cui l’intera procedura è stata eseguita.

Secondo gli analisti di Sysdig, l’elemento più sorprendente riguarda infatti il comportamento del modello linguistico durante l’attacco. Il codice prodotto dall’agente conteneva infatti commenti esplicativi, descrizioni del ragionamento seguito e annotazioni estremamente dettagliate, caratteristiche tipiche del codice generato dagli LLM e decisamente meno comuni negli strumenti sviluppati manualmente dai cybercriminali.

L’agente ha inoltre dimostrato una notevole capacità di adattamento. Quando un tentativo di autenticazione è fallito, non si è limitato a interrompere l’operazione, ma ha modificato autonomamente i parametri dell’attacco e trovato una strategia alternativa in appena 31 secondi, senza alcun intervento esterno. Questo comportamento evidenzia un’evoluzione significativa rispetto ai malware tradizionali, generalmente vincolati a sequenze operative molto più rigide.

JadePuffer ransomware

Crediti: Shutterstock

L’obiettivo finale era un server di produzione esposto su Internet sul quale erano in esecuzione un database MySQL e un’istanza di Nacos, piattaforma open source sviluppata da Alibaba per la gestione dinamica della configurazione e dei servizi nelle architetture cloud-native.

Una volta raggiunto il database, JadePuffer ha preso di mira anche Nacos sfruttando contemporaneamente più tecniche offensive. Tra queste figura la vulnerabilità CVE-2021-29441, che permette di aggirare i meccanismi di autorizzazione, insieme alla creazione di un JSON Web Token valido utilizzando la chiave di firma predefinita della piattaforma, una configurazione che molte installazioni continuano ancora oggi a mantenere invariata.

Grazie ai privilegi ottenuti sul database, l’agente ha quindi inserito un account amministrativo nascosto all’interno dell’infrastruttura di Nacos, predisponendo una backdoor che avrebbe consentito un accesso permanente anche in caso di rimozione di altre componenti del malware.

La fase finale dell’operazione ha seguito il classico schema di un ransomware, ma con una differenza sostanziale. JadePuffer ha cifrato tutti i 1.342 elementi di configurazione presenti nel database utilizzando le funzioni di crittografia AES integrate direttamente in MySQL. Successivamente, ha generato automaticamente una richiesta di riscatto completa di indirizzo Bitcoin e contatto Proton Mail destinato alle vittime.

L’aspetto più inquietante emerso dall’analisi riguarda però la gestione dei dati cifrati. Secondo Sysdig, il modello linguistico ha progressivamente aumentato il livello distruttivo delle proprie azioni, passando dalla semplice eliminazione di record fino alla cancellazione completa di interi schemi del database. Durante questa escalation il sistema continuava addirittura a documentare il proprio ragionamento interno, spiegando le motivazioni delle operazioni eseguite.

Il risultato è che, anche pagando il riscatto, la vittima non avrebbe potuto recuperare le informazioni compromesse. L’agente, infatti, non aveva conservato alcuna copia dei dati cifrati, trasformando di fatto il ransomware in un vero e proprio wiper, ovvero un malware progettato per distruggere definitivamente le informazioni.

Dal punto di vista tecnico, JadePuffer non ha introdotto vulnerabilità inedite né tecniche di attacco particolarmente sofisticate, considerando che tutti gli strumenti utilizzati erano già noti alla comunità della sicurezza informatica. La vera innovazione risiede nella capacità del modello linguistico di concatenare autonomamente exploit, movimenti laterali, raccolta di credenziali, compromissione dei servizi e distruzione dei dati, scegliendo dinamicamente la strategia più efficace in funzione dei risultati ottenuti.

(Immagine in apertura: Shutterstock)