Looker_Studio - stock.adobe.com

Jadepuffer : une attaque avec rançongiciel entière pilotée par IA

Un agent adossé à un LLM qui conduit lui-même de bout-en-bout une cyberattaque en extorsion. De la science-fiction ? Plus aujourd'hui, selon les constatations des analystes de Sysdig.

Cela ressemble résolument à un tournant. L'équipe de recherche sur les menaces de Sysdig vient de documenter Jadepuffer, un cas de rançongiciel agentique complet, entièrement piloté par un grand modèle de langage (LLM).

Cette opération représente la première documentation d'une cyberattaque d'extorsion menée de bout en bout par une intelligence artificielle, transformant agent cybernétique autonome en acteur malveillant.

L'accès initial : l'exploitation des frameworks LLM

L'accès initial à l'environnement cible s'est fait via une instance Langflow exposée sur Internet. Elle s'est appuyée pour cela sur l'exploitation de la vulnérabilité CVE-2025-3248, une faille d'authentification dans le point de validation du code, permettant à un attaquant non authentifié d'exécuter du code Python arbitraire sur l'hôte. Langflow, un framework open-source pour les applications pilotées par LLM, constitue une porte d'entrée attrayante car ses serveurs sont souvent déployés rapidement, adjacents à l'IA, et contiennent fréquemment des clés d'API ou des identifiants cloud.

Une fois l'exécution obtenue, Jadepuffer a immédiatement entamé une phase de reconnaissance. L'agent a identifié l'hôte, puis a balayé l'environnement à la recherche de secrets dans plusieurs catégories : clés d'API de fournisseurs LLM (OpenAI, Anthropic, Gemini, etc.), identifiants cloud (AWS, GCP, Azure, ainsi que des fournisseurs chinois), et identifiants de bases de données.

La phase de reconnaissance et le déplacement latéral

L'agent a ensuite procédé à l'exfiltration de données locales, vidant la base de données Postgres de Langflow pour récolter des identifiants et des clés API stockées. Le déplacement latéral a été marqué par une exploration de l'espace d'adressage interne, sondant des bases de données et des points de terminaison de découverte de services.

Une étape clé fut l'énumération d'un stockage objet MinIO. L'agent a exploité les identifiants par défaut pour lister tous les buckets, y compris des buckets de configuration et des buckets d'état Terraform. Il a ensuite récupéré des fichiers sensibles à partir de ces buckets internes. L'énumération était itérative et auto-correctrice : lorsque la requête initiale utilisait le format JSON et recevait du XML, l'agent adaptait immédiatement son analyseur XML au schéma de réponse.

De l'énumération à l'administration

L'opération a pivoté vers une cible secondaire, un serveur de production contenant une base de données MySQL et un service de configuration Alibaba Nacos. L'agent a attaqué Nacos en exploitant simultanément plusieurs vecteurs, notamment des vulnérabilités de contournement d'authentification et la falsification d'un jeton JWT en utilisant la clé de signature par défaut de Nacos.

Avec un accès root à la base de données, Jadepuffer a injecté un administrateur fantôme dans la base de données Nacos. Ce processus illustre une séquence plan-action-observation-ajustement typique d'un agent. Après une première tentative d'insertion, l'agent a échoué au test de connexion. En trente et un secondes, sans intervention humaine, il a diagnostiqué le problème, supprimé l'utilisateur défectueux et l'a recréé avec un mot de passe plus simple, réussissant la connexion.

L'agent a ensuite mené une enquête méthodique d'évasion de conteneur via les primitives de fichiers de MySQL, testant notamment la lecture du socket Docker. Cette séquence de vérifications, suivie d'un nettoyage explicite, confirme une approche structurée et non celle d'un script fixe.

L'évaluation de l'environnement et l'impact final

La phase de rançongiciel a vu l'agent chiffrer les 1342 éléments de configuration du service Nacos en utilisant `AES_ENCRYPT()` de MySQL. L'agent a ensuite supprimé les tables de configuration originales et a créé une table d'extorsion (`README_RANSOM`) contenant la demande de rançon.

L'agent a également procédé à une destruction massive. Il a listé les bases de données à supprimer, en notant dans ses propres commentaires une « priorisation du ROI » pour les cibles. L'agent a ensuite exécuté des commandes `DROP DATABASE` sur plusieurs schémas, narrant son propre raisonnement de ciblage.

L'analyse de Sysdig met en lumière quatre preuves indépendantes de l'autonomie de Jadepuffer : le code s'auto-narrant, la capacité de diagnostic et de correction à haut vitesse, la compréhension du contexte textuel fourni par la cible, et l'utilisation d'une adresse Bitcoin qui correspond à un exemple de documentation.

Cette opération montre que le seuil de compétences requis pour exécuter une cyberattaque avec rançongiciel a encore diminué. Un agent peut enchaîner reconnaissance, vol d'identifiants, déplacement latéral et destruction sans que l'opérateur n'ait une expertise approfondie dans chaque étape. Et cela d'autant plus que rien n'interdit à un tel agent d'expliquer à son opérateur quelles options se présentent à chaque étape de la cinétique offensive. De quoi le former au passage.

Pour approfondir sur Menaces, Ransomwares, DDoS