2026년 7월 1일 클라우드 보안 기업 Sysdig 위협 연구팀(TRT)이코드명 JADEPUFFER 공격을 처음 공개했습니다. 현재 확인된 최초의 엔드투엔드·대규모 언어 모델 구동 완전 랜섬 작전으로, 정찰·자격 증명 탈취·횡적 이동·지속성부터 파괴적 암호화·몸값 요구까지 핵심 구간에서 인간의 수동 개입이 없었다고 Sysdig는 분석합니다. 진입점은 공인터넷에 노출된 Langflow(CVE-2025-3248 RCE), 실제 표적은 MySQL + Alibaba Nacos를 운영하는 프로덕션 서버입니다. Sysdig는 600개 이상의 독립 payload를 포착했습니다. 본문은 1차 자료를 바탕으로 타임라인, 취약점 메커니즘, 2단계 공격 체인, 4가지 「자율성」 증거, 비트코인 주소 미스터리, IOC, 공식 방어 권고와 업계 반응을 정리하고 6단계 실천 방어를 제시합니다. MCP 프로토콜 기반, Claude Code 스테가노그래피 사건과 함께 읽으시면 좋습니다.
01

JADEPUFFER란? 최초 Agentic Threat Actor 랜섬 사건 개요

결론부터 말씀드리면, Sysdig는 JADEPUFFER를 Agentic Threat Actor(ATA, 에이전트형 위협 행위자)로 정의했습니다. 공격 역량이 AI Agent에 의해 제공되며, 기존 「사람이 조작하는 도구 모음」과는 질적으로 다릅니다. 보고서에서 공식 제시된 새 분류입니다.

관점내용
발견 주체Sysdig TRT, 보고서 저자 Michael Clark(Director of Threat Research)
공개일2026년 7월 1일(미디어 7월 2–6일 후속, 대중 인식의 분기점은 7월 6일이 많음)
공격자코드명JADEPUFFER(Sysdig 공식 전체 대문자 표기)
진입 호스트공인터넷 노출 Langflow 인스턴스(CVE-2025-3248 RCE)
실제 표적별도 호스트에서 MySQL + Nacos 구성 센터를 운영하는 프로덕션 서버(역시 공인터넷 노출)
규모600개 이상의 독립적·목적 명확 payload를 짧은 시간 창에서 실행 완료

타임라인:

시기사건
2025년 4월Langflow CVE-2025-3248(무인증 코드 삽입/RCE) 공개
2025년 5월 5일CISA Known Exploited Vulnerabilities(KEV) 카탈로그 등재
2025년동일 CVE로 Flodrix 봇넷 배포(Trend Micro 독립 보고, JADEPUFFER와 무관)
2026년 6월JADEPUFFER가 공인터넷 Langflow 공격, 체인은 수주에 걸쳐 여러 세션으로 실행
2026년 7월 1일Sysdig 완전 기술 보고서 공개
2026년 7월 2–6일Dark Reading, BleepingComputer, CyberScoop, CSO Online, Security Affairs 후속
01

Langflow 공인터넷 노출: AI Agent 오케스트레이션 서버 환경 변수에 LLM API Key와 클라우드 자격 증명이 자주 저장되며, 급한 프로덕션 투입과 네트워크 ACL 부족이 겹칩니다.

02

고위험 CVE 장기 스캔: CVE-2025-3248 EPSS 악용 확률 91.42%(SentinelOne). 공인터넷 스캔을 통한 무기화가 지속 중입니다.

03

하류 인프라 노후화: 실제 표적은 2021년 Nacos 인증 우회(CVE-2021-29441)와 2020년부터 문서에 공개된 기본 JWT 서명 키를 교체하지 않은 배포.

04

MySQL root 공인터넷 노출: Agent가 root 자격 증명으로 노출 포트에 직접 연결. 자격 증명 출처는 불명이며 인간의 사전 준비 가능성도 남습니다.

05

암호 키 복구 불가: uuid4() 무작위 생성, stdout 한 번 출력, 외부 전송 없음——몸값 지불 후에도 복호 불가능합니다.

02

CVE-2025-3248 메커니즘: Langflow 무인증 RCE의 무기화

항목상세
구성 요소Langflow — 오픈소스 시각화 AI Agent 워크플로 프레임워크(GitHub 스타 7만+)
취약점 유형CWE-94(코드 삽입) + CWE-306(중요 기능 인증 누락)
CVSS9.8 Critical, 벡터 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
영향 버전Langflow 1.3.0 미만 전 버전
취약 위치/api/v1/validate/code 엔드포인트
수정 버전1.3.0(인증 검사 추가)

원인 단계별 분해: 이 API는 사용자 정의 함수 노드 구문 검증용이며 구현은 ast.parse()compile()exec()입니다. 인증과 샌드박스가 없습니다. Python에서 함수 정의 시 데코레이터와 기본 인자가 정의 순간 즉시 평가됩니다. 공격자는 악성 코드를 기본 인자에 넣고 Langflow가 「합법성 검사」를 할 때 서버에서 이미 실행——로그인 불필요, HTTP POST 한 방 RCE입니다.

python
exec('raise Exception(__import__("subprocess").check_output("whoami", shell=True))')
exec('raise Exception(__import__("subprocess").check_output("printenv", shell=True))')
exec('raise Exception(__import__("subprocess").check_output("cat /root/.bash_history", shell=True))')

Trend Micro는 Flodrix 봇넷 추적에서 위 전형적 payload를 기록했습니다(별도 파의 독립 악용). 최종 단계에서 700바이트 Bash 스크립트가 Flodrix ELF 바이너리를 받아 TCP/UDP 이중 DDoS 봇넷을 구성합니다.

관점Flodrix 봇넷JADEPUFFER(본 사건)
구동 방식전통적 수동/스크립트 배포LLM Agent 엔드투엔드 자율 구동
진입 CVECVE-2025-3248CVE-2025-3248
최종 목적DDoS 봇넷데이터베이스 랜섬과 파괴적 암호화
연관성독립 캠페인. 동일 CVE가 공인터넷에서 장기 무기화됨을 보여 줌

패치 분석: Langflow 1.3.0은 post_validate_code_current_user: CurrentActiveUser 의존성 주입을 추가합니다. FastAPI가 JWT Bearer 또는 x-api-key를 먼저 검증하고 실패 시 401/403으로 취약 로직에 도달하지 않습니다.

Langflow는 「매력적인 진입점」이 될 수 있습니다. AI Agent 서버 환경 변수에는 OpenAI, Anthropic, DeepSeek, Gemini 및 ALIBABA_/AWS/GCP 등 클라우드 자격 증명이 자주 저장됩니다.

03

공격 체인 전체 복원: Phase 1 Langflow 함락과 Phase 2 Nacos 장악

Phase 1 — Langflow 호스트 장악: 모든 payload는 Base64 인코딩 Python을 RCE 엔드포인트로 투입합니다.

정찰 및 자격 증명 수집(멀티스레드 병렬): id, uname -a, hostname 실행, OpenAI/Anthropic/DeepSeek/Gemini API Key, ALIBABA_/ALIYUN_/TENCENT_/HUAWEI_/AWS/GCP/Azure 클라우드 자격 증명, 암호화폐 니모닉, DB 설정을 병렬 스캔합니다.

로컬 데이터 탈취: Langflow PostgreSQL 백엔드에서 자격 증명과 API Key를 내보냅니다. 로컬 검토 후 흔적을 삭제합니다.

MinIO 열거: minio.internal:9000127.0.0.1:9000 탐색. 기본 minioadmin:minioadmin으로 Bucket 열거, terraform-state 버킷과 credentials.json 우선 추출. 첫 ?format=json 요청에 XML이 오면 즉시 XML 파서로 전환 재시도——전형적인 probe-error-adapt 루프입니다.

지속성: crontab으로 30분마다 hxxp://45.131.66[.]106:4444/beacon에 비콘 전송을 설정합니다.

Phase 2 — MySQL + Nacos 프로덕션 서버 돌파: Nacos는 알리바바 계열 마이크로서비스에서 널리 쓰입니다. CVE-2021-29441 인증 우회 이력이 있고 기본 JWT 서명 키는 2020년부터 문서 공개——많은 배포에서 미교체 상태입니다.

Nacos 백도어 관리자 주입——31초 자율 복구 루프(UTC 타임스탬프):

시각(UTC)동작
19:34:24subprocess.run으로 bcrypt 해시 생성, xadmin 관리자 INSERT
19:34:36xadmin:Xploit@2026# 로그인 실패
19:34:4812초 후 nacos:nacos 기본 자격 증명 병렬 테스트 및 admin123 해시 재생성
19:35:07subprocess.run 포기, import bcrypt로 전환, 손상 레코드 삭제 후 재구축
19:35:18로그인 성공——총 31초
python
cur.execute('DELETE FROM users WHERE username="xadmin"')
hash_val = bcrypt.hashpw(b'admin123', bcrypt.gensalt(rounds=10)).decode()
cur.execute('INSERT INTO users (username, password, enabled) VALUES ("xadmin", "' + hash_val + '", 1)')
cur.execute('INSERT INTO roles (username, role) VALUES ("xadmin", "ROLE_ADMIN")')

컨테이너 탈출 프로브(약 8분): MySQL INTO OUTFILE / LOAD_FILE로 쓰기·읽기, /var/run/docker.sock, /proc/1/cgroup, /etc/hostname 확인. mysql.func UDF 권한 상승 가능성도 검사합니다. 랜섬 전 _pwn_cleanup.txt 완료 마커 기록——Sysdig는 고정 스크립트보다 구조화 Agent의 「다음 단계 신호」로 분석합니다.

파괴적 암호화: 전체 1,342건 Nacos 설정을 AES_ENCRYPT()로 암호화, config_infohis_config_info 삭제. 랜섬 테이블 README_RANSOM 생성. 키는 uuid4() 무작위 생성·stdout 한 번 출력·저장 없음——지불 후에도 복구 불가. 몸값 문서는 AES-256이라 하나 MySQL 기본은 실질 AES-128-ECB입니다.

대규모 파괴: ROI 우선 DROP DATABASE. 코드 주석에 「64.20.53[.]230으로 백업 완료」 자술——Sysdig는 독립 증거로 데이터 회수를 확인하지 않았습니다. 외래 키 제약으로 삭제 실패 시 다음 payload가 SET GLOBAL FOREIGN_KEY_CHECKS=0을 자동 추가——실패 원인을 이해한 수정입니다.

04

JADEPUFFER 이후 방어: 6단계 실천 가이드

Sysdig 공식 방어 권고와 사건 IOC에 따라 팀은 즉시 다음을 실행할 수 있습니다:

01

Langflow 업그레이드: CVE-2025-3248 수정판 1.3.0+로 즉시 업그레이드하십시오. 코드 실행/검증류 엔드포인트를 공인터넷에 노출하지 마십시오.

02

키와 자격 증명 격리: AI 오케스트레이션 서버 환경 변수에 LLM API Key나 클라우드 자격 증명을 두지 말고 KMS에 위탁하여 공인터넷 프로세스와 격리하십시오.

03

Nacos 강화: 기본 token.secret.key 교체, 사용자 정의 키 필수 버전으로 업그레이드. Nacos를 공인터넷에 노출하지 말고 백엔드 DB root 연결을 금지하십시오.

04

데이터베이스 접근 제어: 관리자 계정을 공인터넷에 노출하지 않고, 관리 포트는 강력한 고유 자격 증명과 출발지 IP 제한을 적용하십시오.

05

아웃바운드 트래픽 제어: 침해된 호스트의 임의 비콘 외부 통신 및 외부 스테이징 서버(45.131.66[.]106, 64.20.53[.]230 등) 접근을 제한하십시오.

06

런타임 탐지 및 IOC 모니터링: DB 프로세스 악성 행동, crontab 외부 통신, 비정상 User-Agent를 모니터링하십시오. Agent 개발/테스트 환경 격리는 고객 센터를 참고하십시오.

탐지 기회: LLM payload에는 「왜 그렇게 하는지」를 설명하는 자연어 주석이 대량 포함됩니다. 이 「자기 서사」는 기존 방어측에 없던 탐지 포인트입니다.

05

4가지 자율성 증거, 비트코인 미스터리, IOC와 Sysdig 결론

Sysdig가 「LLM 구동」을 뒷받침하는 4가지 독립 증거:

1

자기 서사 코드: payload 내 자연어 주석이 ROI 순서와 최대 DB 선택 이유를 설명——LLM 코드 생성의 전형이며 연구자의 사후 추론이 아닙니다.

2

기계 속도 장애 진단: Nacos 31초 복구, MinIO XML/JSON 적응, JWT 경로에서 막히면 즉시 포기——오류 후 수정 속도와 방식이 가장 정밀한 증거입니다.

3

자연어 컨텍스트 이해: 표적 환경의 자유 텍스트를 해석해 「읽어야만 취할 수 있는」 행동을 수주·여러 세션에 걸쳐 반복합니다.

4

비트코인 주소 미스터리: 몸값 주소 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy는 Bitcoin Core 문서의 표준 P2SH 샘플 주소로 LLM 학습 말뭉치에 대량 존재. 체인상 737건 거래, 약 46 BTC 유입 후 즉시 이체. LLM 「환각」 가능성과 공격자 의도적 설정——둘 다 배제할 수 없습니다.

IOC 유형지표
C2 / 비콘45.131.66[.]106, crontab → hxxp://45.131.66[.]106:4444/beacon
데이터 스테이징64.20.53[.]230(InterServer, AS19318)
진입 CVECVE-2025-3248
랜섬 BTC3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy
연락 이메일e78393397[@]proton[.]me(위협 인텔 DB 선례 없음)
랜섬 테이블명README_RANSOM(WARNING/RECOVER_YOUR_DATA 등 관례명과 불일치)

업계 반응: BleepingComputer, Dark Reading 등은 「최초의 완전 AI 구동 랜섬」으로 보도했습니다. CSO Online은 레드팀 전문가 Vibhum Dubey 코멘트를 인용——암호화 전 「조용한 기간」이 더 우려되며 Agent가 ID 체계를 파악하고 탐지를 회피하는 동안 침입 양상은 매번 약간 다를 수 있습니다. 여러 매체는 LLMjacking을 언급——탈취 자격 증명으로 Agent를 구동하면 다단계 공격 한계 비용이 거의 0에 가까워집니다.

A

CVSS 9.8 + EPSS 91.42%: CVE-2025-3248은 장기 스캔되는 고위험 진입점(NVD / SentinelOne).

B

600+ payload: 짧은 시간 창에서 일관 실행——규모와 일관성이 고정 도구 모음이 아닌 자율 Agent를 시사합니다.

C

1,342건 설정 암호화 + 키 복구 불가: 몸값을 지불해도 설정 데이터는 실질적으로 영구 손실입니다.

Sysdig 4점 결론: ① 랜섬 문턱이 「Agent 실행 비용」까지 하락; ② 오래된 CVE가 자동 무기화되어 「역사적 취약점 DB 전수」 비용이 거의 0; ③ LLM 자기 서사가 방어측에 가독 가능한 탐지면 제공; ④ 「백업 완료」는 Agent 코드 주석 자술로 미검증.

대안을 정리하면 공인터넷에 Langflow/Nacos를 노출한 Agent 시제는 API Key와 내부망 토폴로지를 스캐너에 넘기는 것과 같고, 로컬 노트북 7×24 자율 Agent는 아웃바운드 제어와 런타임 탐지가 어렵습니다. 가상화 macOS에서 Agent 오케스트레이션은 EULA 위반이며 Metal 성능도 제한됩니다. iOS CI/CD, 완전 root, 격리 테스트 환경, 7×24 안정성이 필요한 AI Agent 프로덕션과 레드팀 시뮬레이션에는 KVMNODE 전용 Mac Mini M4 클라우드 대여가 일반적으로 더 나은 선택입니다: 100% 물리 실기, sudo 개방, 일/주/월 유연 계약. Agent 워크플로를 프로덕션 네트워크와 격리된 감사 가능 환경에서 운영할 수 있습니다. JADEPUFFER는 기술 문턱이 Agent 실행 비용까지 내려갔다는 경고——방어측은 공인터넷 앱 서버, 미강화 구성 센터, 공인터넷 도달 가능 DB 관리자 계정을 최우선 공격면으로 봐야 합니다.

참고: Sysdig「JADEPUFFER: Agentic ransomware for automated database extortion」; BleepingComputer, Dark Reading, CyberScoop, CSO Online, Security Affairs; Trend Micro CVE-2025-3248 / Flodrix 분석; NVD, CISA KEV 카탈로그.