Ransomware JADEPUFFER usa IA para conduzir ataque

Um novo ransomware chamado JADEPUFFER foi descrito como uma ameaça “agêntica”, capaz de conduzir etapas de invasão com alto nível de autonomia usando um agente de IA para planejar, adaptar e executar ações no ambiente comprometido. A campanha foi identificada pelos pesquisadores após a captura de cargas maliciosas usadas em uma intrusão.

O ataque começou em uma instância do Langflow exposta à internet, explorando a CVE-2025-3248, uma falha que permite executar código Python sem autenticação. Depois do acesso inicial, o JADEPUFFER enviou comandos codificados em Base64 para mapear o sistema, identificar processos, verificar interfaces de rede e procurar credenciais armazenadas.

A ameaça buscava chaves de API de serviços como OpenAI, Anthropic, DeepSeek e Gemini, além de credenciais de nuvem da AWS, Azure e outros provedores. Também foram procuradas carteiras de criptomoedas, frases-semente e arquivos de configuração de bancos de dados.

O agente também acessou a base interna do Langflow para extrair registros de usuários e credenciais salvas. Em seguida, encontrou um serviço MinIO usando credenciais padrão, listou buckets de armazenamento e coletou arquivos sensíveis. Segundo a análise, a chave de criptografia foi gerada aleatoriamente e não foi salva, o que tornaria a recuperação impossível mesmo com pagamento.

Leia mais na mesma categoria:

CibercriminososNotícias