Scoperto il primo ransomware gestito interamente da un agente AI

Sicurezza informatica davanti a una svolta: un LLM ha automatizzato ogni fase dell’attacco, dalla ricognizione iniziale alla cifratura dei dati

Redazione

La sicurezza informatica potrebbe trovarsi di fronte a un punto di svolta. I ricercatori della società Sysdig hanno infatti documentato quello che ritengono essere il primo caso di un’operazione ransomware condotta interamente da un agente basato su un modello linguistico di grandi dimensioni (LLM). Il malware, chiamato JadePuffer, sarebbe stato in grado di eseguire autonomamente tutte le principali fasi dell’attacco, adattandosi agli ostacoli incontrati proprio come farebbe un operatore umano.

Dall’accesso iniziale alla compromissione del sistema

Secondo il rapporto, JadePuffer ha ottenuto l’accesso iniziale sfruttando la vulnerabilità CVE-2025-3248, una falla di esecuzione di codice remoto senza autenticazione presente in Langflow, framework open source utilizzato per sviluppare applicazioni basate su LLM. La vulnerabilità era stata corretta il 1° aprile 2025, mentre all’inizio di maggio la CISA l’aveva inserita tra quelle già sfruttate in attacchi contro sistemi esposti su Internet.

Una volta ottenuta l’esecuzione di codice, l’agente AI ha estratto il database PostgreSQL di Langflow, raccolto informazioni sull’host, cercato variabili d’ambiente e file sensibili, recuperato credenziali e analizzato un archivio di oggetti MinIO.

I ricercatori sottolineano come il sistema sia stato capace di adattare automaticamente il proprio comportamento. Ad esempio, durante l’analisi di MinIO, quando una richiesta API ha restituito dati in formato XML anziché JSON, il malware ha modificato autonomamente la logica di elaborazione per proseguire l’operazione.

Un agente capace di adattarsi agli errori

Uno degli aspetti più sorprendenti evidenziati da Sysdig riguarda la capacità dell’agente di reagire ai fallimenti in tempo reale. In una delle sequenze osservate, il sistema è passato da un tentativo di accesso non riuscito a una soluzione funzionante nell’arco di appena 31 secondi, perfezionando automaticamente i parametri utilizzati.

L’agente ha inoltre creato un meccanismo di persistenza installando un processo cron sul server Langflow, configurato per comunicare con l’infrastruttura degli attaccanti ogni 30 minuti.

Successivamente l’attacco si è spostato verso un server MySQL di produzione che eseguiva Alibaba Nacos, utilizzando credenziali root la cui origine non è stata determinata dai ricercatori. Contro Nacos sono stati impiegati diversi payload, tra cui uno che sfruttava la vulnerabilità CVE-2021-29441, capace di aggirare l’autenticazione creando account amministratore non autorizzati.

La cifratura dei dati e gli indizi dell’utilizzo dell’IA

Dopo aver tentato anche tecniche di evasione dai container, JadePuffer ha distribuito il ransomware, cifrando 1.342 elementi di configurazione del servizio Nacos tramite la funzione AES_ENCRYPT() di MySQL, eliminando successivamente le tabelle originali e creando una tabella denominata README_RANSOM contenente la richiesta di riscatto, un indirizzo Bitcoin e un contatto Proton Mail.

La nota di riscatto sostiene che la cifratura utilizzi AES-256, ma gli esperti ritengono più probabile l’impiego del più debole AES-128-ECB. Inoltre, la chiave di cifratura verrebbe generata casualmente senza essere memorizzata o trasmessa agli attaccanti.

Tra gli altri elementi che suggeriscono il controllo dell’operazione da parte di un agente AI figurano commenti in linguaggio naturale inseriti nel codice, che spiegano il ragionamento operativo, e la capacità di modificare rapidamente la strategia in base agli errori riscontrati, invece di limitarsi a ripetere automaticamente le stesse operazioni.

L’arrivo degli “agentic threat actors”

Per Sysdig, il caso JadePuffer rappresenta l’inizio dell’era dei cosiddetti “agentic threat actors” (ATA), ovvero attori malevoli che sfruttano agenti di intelligenza artificiale per automatizzare attacchi complessi, riducendo le competenze necessarie per condurre operazioni ransomware sofisticate.

Allo stesso tempo, i ricercatori evidenziano che il funzionamento degli agenti basati su LLM potrebbe offrire nuove opportunità ai sistemi di sicurezza, grazie a caratteristiche e comportamenti specifici che renderebbero più semplice individuare i payload generati dall’intelligenza artificiale.

Iscriviti alla newsletter

Non inviamo spam! Leggi la nostra Informativa sulla privacy per avere maggiori informazioni.