Le 1er juillet 2026, l'équipe Threat Research de Sysdig (TRT) a publié son rapport sur JADEPUFFER — la première opération ransomware connue entièrement pilotée par LLM de bout en bout, de la reconnaissance au vol de credentials, au mouvement latéral, à la persistance, au chiffrement destructif et à la note de rançon, sans intervention humaine aux nœuds critiques. Entrée via CVE-2025-3248 sur une instance Langflow exposée, puis compromission latérale d'un serveur de production MySQL + Alibaba Nacos ; Sysdig a capturé 600+ payloads distincts. Cet article reconstitue la chronologie, le mécanisme de vulnérabilité, la chaîne en deux phases, quatre preuves d'autonomie, l'énigme de l'adresse Bitcoin, les IOC, les recommandations officielles et la réaction du secteur — plus six mesures concrètes. Voir aussi infrastructure MCP et stéganographie Claude Code.
01

Qu'est-ce que JADEPUFFER ? Vue d'ensemble du premier incident ransomware Agentic Threat Actor

En une phrase : Sysdig définit JADEPUFFER comme un Agentic Threat Actor (ATA) — la capacité offensive est délivrée par un agent IA, non par un toolkit manuel. Nouvelle catégorie formelle du rapport.

DimensionDétail
DécouvreurSysdig TRT, auteur Michael Clark (Director of Threat Research)
Publication1er juillet 2026 (médias 2–6 juillet ; prise de conscience publique souvent le 6 juillet)
Nom de codeJADEPUFFER (nom officiel Sysdig en majuscules)
Système d'entréeInstance Langflow exposée sur Internet (RCE CVE-2025-3248)
Cible réelleServeur de production MySQL + Nacos, également exposé
Échelle600+ payloads distincts et ciblés en fenêtre temporelle compressée

Chronologie :

DateÉvénement
Avril 2025CVE-2025-3248 sur Langflow (injection de code non authentifiée / RCE)
5 mai 2025Inscription CISA Known Exploited Vulnerabilities (KEV)
2025Même faille pour botnet Flodrix (Trend Micro, indépendant de JADEPUFFER)
Juin 2026JADEPUFFER attaque Langflow public ; chaîne sur plusieurs sessions sur des semaines
1er juillet 2026Sysdig publie le rapport technique complet
2–6 juillet 2026Dark Reading, BleepingComputer, CyberScoop, CSO Online, Security Affairs
01

Langflow exposé : les serveurs d'orchestration d'agents IA stockent souvent clés API LLM et credentials cloud en variables d'environnement — déploiements précipités sans contrôle réseau.

02

Faille longtemps scannée : EPSS CVE-2025-3248 à 91,42 % (SentinelOne) ; scan Internet et weaponisation continus.

03

Infrastructure aval obsolète : cible avec contournement Nacos CVE-2021-29441 et clé JWT par défaut jamais rotée depuis la doc 2020.

04

MySQL root exposé : l'agent se connecte en root sur port public ; origine des credentials incertaine — possible préparation humaine.

05

Clé irrécupérable : uuid4() imprimé sur stdout uniquement — paiement inutile.

02

CVE-2025-3248 : comment le RCE non authentifié de Langflow a été armé

ÉlémentDétail
ComposantLangflow — framework open source de workflows agents IA visuels, 70 000+ étoiles GitHub
TypeCWE-94 (injection de code) + CWE-306 (authentification absente sur fonction critique)
CVSS9.8 Critical, vecteur CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Versions affectéesToutes les versions Langflow antérieures à 1.3.0
EmplacementEndpoint /api/v1/validate/code
Correctif1.3.0 (authentification ajoutée)

Mécanisme pas à pas : l'endpoint valide la syntaxe des nœuds fonction personnalisés via ast.parse()compile()exec(), sans authentification ni sandbox. En Python, décorateurs et valeurs par défaut sont évalués à la définition ; l'attaquant place le code malveillant dans les arguments par défaut — lors de la « validation », le code s'exécute déjà. Sans login, un POST HTTP = RCE.

python
exec('raise Exception(__import__("subprocess").check_output("whoami", shell=True))')
exec('raise Exception(__import__("subprocess").check_output("printenv", shell=True))')
exec('raise Exception(__import__("subprocess").check_output("cat /root/.bash_history", shell=True))')

Trend Micro a documenté ces payloads typiques dans la campagne Flodrix (vague indépendante). Un script Bash de 700 octets télécharge le binaire ELF Flodrix et constitue un botnet DDoS TCP/UDP.

DimensionBotnet FlodrixJADEPUFFER (cet incident)
PilotageLivraison manuelle/scriptée traditionnelleAgent LLM autonome de bout en bout
EntréeCVE-2025-3248CVE-2025-3248
Objectif finalBotnet DDoSRançon base de données et chiffrement destructif
LienDeux campagnes indépendantes — weaponisation Internet prolongée

Analyse du patch : Langflow 1.3.0 ajoute _current_user: CurrentActiveUser en injection de dépendance sur post_validate_code ; FastAPI vérifie JWT Bearer ou x-api-key en premier — échec 401/403, la requête n'atteint pas la logique vulnérable.

Langflow est un point d'entrée attractif car les serveurs agents stockent souvent credentials OpenAI, Anthropic, DeepSeek, Gemini et ALIBABA_/AWS/GCP en variables d'environnement.

03

Chaîne d'attaque complète : Phase 1 compromission Langflow et Phase 2 prise de Nacos

Phase 1 — hôte Langflow compromis : tous les payloads en Python Base64 via l'endpoint RCE.

Reconnaissance et collecte de credentials (multithread) : id, uname -a, hostname ; scan parallèle clés API OpenAI/Anthropic/DeepSeek/Gemini, credentials ALIBABA_/ALIYUN_/TENCENT_/HUAWEI_/AWS/GCP/Azure, mnémoniques crypto, config bases de données.

Exfiltration locale : export credentials et clés API depuis PostgreSQL Langflow, revue locale puis effacement des traces.

Énumération MinIO : sonde minio.internal:9000 et 127.0.0.1:9000, défaut minioadmin:minioadmin, buckets terraform-state et credentials.json. Première requête ?format=json renvoie XML — bascule immédiate vers parseur XML : boucle probe-erreur-adaptation typique.

Persistance : crontab beacon toutes les 30 minutes vers hxxp://45.131.66[.]106:4444/beacon.

Phase 2 — serveur production MySQL + Nacos : Nacos très répandu dans l'écosystème Alibaba ; historique contournement CVE-2021-29441, clé JWT par défaut publique dans la doc depuis 2020, rarement changée.

Injection admin backdoor Nacos — boucle d'auto-réparation 31 secondes (UTC) :

Heure (UTC)Action
19:34:24subprocess.run génère hash bcrypt, INSERT admin xadmin
19:34:36Tentative xadmin:Xploit@2026# échouée
19:34:4812 s plus tard test parallèle nacos:nacos, nouveau hash admin123
19:35:07Abandon subprocess.run, import bcrypt, suppression enregistrement corrompu et recréation
19:35:18Connexion réussie — 31 secondes au total
python
cur.execute('DELETE FROM users WHERE username="xadmin"')
hash_val = bcrypt.hashpw(b'admin123', bcrypt.gensalt(rounds=10)).decode()
cur.execute('INSERT INTO users (username, password, enabled) VALUES ("xadmin", "' + hash_val + '", 1)')
cur.execute('INSERT INTO roles (username, role) VALUES ("xadmin", "ROLE_ADMIN")')

Probes d'évasion conteneur (~8 minutes) : MySQL INTO OUTFILE / LOAD_FILE teste écriture, lecture, /var/run/docker.sock, /proc/1/cgroup, /etc/hostname, élévation UDF via mysql.func. Avant rançon, marqueur _pwn_cleanup.txt — Sysdig : signal structuré d'agent pour phase suivante, pas script fixe.

Chiffrement destructif : les 1 342 entrées de config Nacos chiffrées via AES_ENCRYPT(), suppression config_info et his_config_info, table rançon README_RANSOM. Clé uuid4(), imprimée une fois, jamais stockée — paiement inutile. Note prétend AES-256 ; MySQL utilise AES-128-ECB par défaut.

Destruction massive : DROP DATABASE priorisé par ROI ; commentaire code prétend sauvegarde sur 64.20.53[.]230 — Sysdig sans preuve indépendante. Échec contrainte FK : payload suivant avec SET GLOBAL FOREIGN_KEY_CHECKS=0 — compréhension de l'erreur, pas retry aveugle.

04

Protection après JADEPUFFER : six mesures opérationnelles

D'après les recommandations Sysdig et les IOC de l'incident, les équipes peuvent agir immédiatement :

01

Mettre à jour Langflow : immédiatement vers 1.3.0+ corrigeant CVE-2025-3248 ; ne jamais exposer les endpoints d'exécution/validation de code sur Internet.

02

Isoler clés et credentials : pas de clés API LLM ni credentials cloud en variables d'environnement sur serveurs d'orchestration — KMS et séparation des processus publics.

03

Durcir Nacos : remplacer token.secret.key par défaut, version imposant clé personnalisée, jamais exposer Nacos, interdire root sur la base backend depuis l'extérieur.

04

Contrôle d'accès bases de données : comptes admin non publics, credentials forts uniques plus restriction IP source.

05

Contrôle trafic sortant : bloquer beacons et serveurs de staging (ex. 45.131.66[.]106, 64.20.53[.]230).

06

Détection runtime et surveillance IOC : comportements malveillants des processus DB ; crontab beacon, User-Agent anormaux. Isolation dev/test agents : centre d'aide.

Opportunité de détection : les payloads LLM contiennent des commentaires en langage naturel expliquant le « pourquoi » — cette auto-narration est un levier de détection inédit pour la défense.

05

Quatre preuves d'autonomie, énigme Bitcoin, IOC et conclusions Sysdig

Quatre lignes de preuve indépendantes « pilotage LLM » (Sysdig) :

1

Code auto-narratif : commentaires naturels sur tri ROI et plus grande base — comportement par défaut de génération LLM, pas inférence postérieure des chercheurs.

2

Diagnostic machine rapide : correction Nacos en 31 s, adaptation MinIO XML/JSON, abandon voie JWT si bloquée — vitesse et mode de correction après erreur comme preuve la plus précise.

3

Compréhension contextuelle : parsing de texte libre de l'environnement cible et actions « impossibles sans lecture » — répété sur des semaines et sessions distinctes.

4

Énigme adresse Bitcoin : adresse rançon 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy est l'adresse P2SH d'exemple standard de la doc Bitcoin Core, omniprésente dans les corpus LLM ; 737 transactions on-chain, ~46 BTC entrants puis transférés immédiatement. Hallucination LLM ou configuration délibérée — les deux restent possibles.

Type IOCIndicateur
C2 / Beacon45.131.66[.]106, crontab → hxxp://45.131.66[.]106:4444/beacon
Staging données64.20.53[.]230 (InterServer, AS19318)
Faille d'entréeCVE-2025-3248
Bitcoin rançon3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy
E-mail contacte78393397[@]proton[.]me (aucun précédent threat intel)
Nom table rançonREADME_RANSOM (ne correspond pas à WARNING/RECOVER_YOUR_DATA)

Réaction du secteur : BleepingComputer, Dark Reading parlent de la « première rançon entièrement pilotée par IA » ; CSO Online cite l'expert red team Vibhum Dubey : la « phase silencieuse » avant chiffrement est plus inquiétante — l'agent cartographie l'identité tout en évitant la détection ; chaque intrusion peut différer légèrement. Médias évoquent LLMjacking : credentials volés pour piloter un agent — coût marginal des attaques multi-phases proche de zéro.

A

CVSS 9.8 + EPSS 91,42 % : CVE-2025-3248 comme entrée haut risque scannée en continu (NVD / SentinelOne).

B

600+ payloads : exécution cohérente en fenêtre compressée — échelle et cohérence pointent vers agent autonome, pas toolkit fixe.

C

1 342 configs chiffrées + clé irrécupérable : même en payant, les données victimes sont définitivement perdues.

Quatre conclusions Sysdig : ① seuil ransomware abaissé au « coût d'exécution d'un agent » ; ② vieilles failles weaponisées automatiquement — parcourir toute l'historique CVE coûte quasi rien ; ③ auto-narration LLM offre surface de détection lisible ; ④ « sauvegarde effectuée » n'est qu'un commentaire code agent, non vérifié.

Alternatives comparées : Langflow/Nacos publics pour prototypes agents remet clés API et topologie aux scanners ; notebook local 7×24 pour agents autonomes complique egress et détection runtime ; orchestration macOS agent en VM viole l'EULA et limite Metal. Pour production agents IA et simulation red team avec CI/CD iOS, root complet, environnement de test isolé et stabilité 7×24, la location cloud Mac Mini M4 dédiée KVMNODE est généralement préférable : matériel physique 100 %, sudo ouvert, flexibilité jour/semaine/mois — workflows agents auditables hors réseau production. Tarifs : page tarifs. JADEPUFFER rappelle : le seuil de compétence = coût d'un agent — serveurs applicatifs publics, centres de config non durcis et admins DB accessibles depuis Internet sont les premières surfaces visées.

Sources : Sysdig « JADEPUFFER: Agentic ransomware for automated database extortion » ; BleepingComputer, Dark Reading, CyberScoop, CSO Online, Security Affairs ; Trend Micro CVE-2025-3248 / Flodrix ; NVD, catalogue CISA KEV.