Especialistas da empresa de cibersegurança em nuvem Sysdig documentaram um incidente que descreveram como o primeiro ataque de ransomware da história. A operação foi conduzida não por um humano, mas por um grande modelo de linguagem de inteligência artificial — desde a penetração no sistema até a invasão do servidor e a destruição de dados.

Fonte da imagem: sysdig.com
Pesquisadores apelidaram o agente de JadePuffer e afirmaram que ele comprometeu um recurso por meio de um servidor Langflow conectado à internet, explorando a vulnerabilidade CVE-2025-3248, após o que um ataque totalmente automatizado foi lançado. Os payloads continham raciocínio em linguagem natural, de acordo com os especialistas; a operação se adaptou em tempo real — em um caso, o caminho de uma falha de login para um patch funcional para o código malicioso foi concluído em 31 segundos.
Após fazer login explorando a vulnerabilidade CVE-2025-3248, que permite a execução de código Python arbitrário no host, o agente começou a escanear e coletar informações sensíveis, incluindo chaves de API de provedores de IA chineses, credenciais para serviços de nuvem AWS, Azure e Google, carteiras de criptomoedas e informações de acesso a bancos de dados. O agente de IA instalou uma entrada no crontab do servidor Langflow para contatar a infraestrutura do atacante a cada 30 minutos.
O alvo pretendido pelo JadePuffer era um servidor de produção separado, acessível pela internet, que executava um banco de dados MySQL e o serviço de configuração Nacos da Alibaba. O agente conectou-se a uma porta aberta do servidor MySQL com privilégios de root, embora não tenha sido possível determinar como obteve essas credenciais, pois elas não estavam presentes no recurso comprometido. O JadePuffer então atacou o Nacos por meio de múltiplos vetores de ataque, incluindo a exploração da vulnerabilidade de bypass de autenticação CVE-2021-29441 e a forja de um JSON Web Token (JWT) válido usando a chave de assinatura padrão do Nacos. Usando o acesso ao banco de dados root, o agente injetou um administrador backdoor no banco de dados de backup do Nacos.Como resultado, o atacante de IA criptografou todos os 1342Um elemento de configuração do serviço Nacos foi comprometido usando o recurso de criptografia AES integrado do MySQL, resultando em um pedido de resgate que especificava uma carteira Bitcoin e um endereço de e-mail. Infelizmente, a vítima não conseguirá recuperar os dados perdidos, mesmo pagando o resgate: o agente primeiro excluiu dados do banco de dados seletivamente e, em seguida, começou a excluir esquemas de dados sem criar uma cópia de segurança, mas registrando cada ação.
Para se proteger contra esses ataques, especialistas recomendam atualizar o Langflow para a versão com a correção para a vulnerabilidade CVE-2025-3248, não expor endpoints para inspeção e execução de código na internet, não expor o Nacos à internet, alterar a chave padrão e atualizar para uma versão que exija apenas a chave do próprio usuário. O JadePuffer não utilizou métodos de ataque particularmente complexos ou exclusivos, mas é importante notar que o modelo de linguagem abrangente os combinou em uma operação completa contra infraestrutura abandonada e exposta à internet. Dessa forma, o custo de ataques cibernéticos na presença de agentes de IA maliciosos é significativamente reduzido – podendo até mesmo cair a quase zero.