Un equipo de investigadores de Sysdig documentó lo que describe como el primer ataque de ransomware totalmente agentic, en el que un modelo de lenguaje dirigió desde la intrusión inicial hasta el cifrado y la destrucción de datos. El caso incluyó una exigencia de pago en Bitcoin.

La intrusión comenzó en Langflow y se extendió a otras plataformas

De acuerdo con el reporte, el intruso fue bautizado como JadePuffer. El agente obtuvo acceso inicial a una instancia de Langflow expuesta a Internet y ejecutó un ataque completamente automatizado.

La intrusión comenzó con la explotación de CVE-2025-3248, una vulnerabilidad de autenticación ausente en Langflow que permite a atacantes remotos no autenticados ejecutar Python arbitrario en el host comprometido.

Sysdig también destacó que el comportamiento del sistema fue tan relevante como la técnica usada. Michael Clark, director de investigación de amenazas de la empresa, afirmó que la característica más llamativa fue la conducta del LLM durante la operación.

Clark señaló que las cargas útiles del atacante se “autonarraban” y contenían razonamiento en lenguaje natural, priorización de objetivos y anotaciones detalladas. Según dijo, ese tipo de comentarios es más propio del código generado por modelos de lenguaje que del escrito por operadores humanos.

La operación, además, mostró capacidad de adaptación en tiempo real. Sysdig aseguró que reintentó pasos fallidos y refinó parámetros hasta encontrar una ruta funcional.

En una de las secuencias observadas, el agente pasó de un inicio de sesión fallido a una solución operativa en apenas 31 segundos.

El cifrado alcanzó 1.342 elementos de configuración de Nacos

Tras explotar la vulnerabilidad en Langflow, JadePuffer comenzó a escanear el entorno y a recolectar secretos. Entre ellos había claves de API de proveedores de LLM, credenciales de nube, billeteras de criptomonedas y credenciales de bases de datos.

El barrido incluyó a Alibaba, Aliyun, Tencent y Huawei, además de servicios asociados a AWS, Azure y Google Cloud Platform.

El agente también instaló una entrada de crontab en el servidor de Langflow para mantener persistencia. Esa tarea programada llamaba a la infraestructura del atacante cada 30 minutos.

El objetivo previsto era un servidor de producción expuesto a Internet que ejecutaba una base de datos MySQL y un servicio Nacos de Alibaba. Nacos es una plataforma de código abierto para descubrimiento de servicios y configuración dinámica.

Una vez identificado el objetivo, JadePuffer se conectó al puerto MySQL expuesto del servidor utilizando credenciales root. Sysdig dijo que no sabe cómo el atacante consiguió esas credenciales.

Luego, el agente atacó Nacos mediante múltiples vectores, entre ellos CVE-2021-29441, una falla de bypass de autorización ya conocida en ese software. Además, falsificó un JSON Web Token válido usando la clave de firma predeterminada de Nacos.

Con el acceso root a la base de datos, el agente inyectó un administrador trasero en la base de respaldo de Nacos. Finalmente, cifró los 1.342 elementos de configuración del servicio con la función AES integrada en MySQL.

Después generó una nota de rescate con una dirección de pago en Bitcoin y un contacto de Proton Mail. El mensaje afirmaba que todas las configuraciones de Nacos, datos de clientes redactados e información personal redactada habían sido cifrados con AES-256.

Sysdig advierte que la recuperación sería imposible aun con el pago

El hallazgo más inquietante del caso es que, según Sysdig, la víctima no puede recuperar los datos cifrados aunque pague el rescate. El motivo es que el agente no preservó copias de seguridad de la información afectada.

De acuerdo con los investigadores, JadePuffer escaló de la eliminación a nivel de fila a la eliminación de esquemas completos de bases de datos. Ese detalle altera una de las premisas tradicionales del ransomware, porque rompe la promesa de recuperación a cambio del pago.

Para organizaciones que usan herramientas de orquestación de IA, el caso funciona como una advertencia temprana. Un fallo en software expuesto, combinado con credenciales de alto valor y servicios mal configurados, puede convertirse en una cadena de compromiso muy rápida.

Sysdig recomendó parchear Langflow a una versión que corrija CVE-2025-3248 y no exponer a Internet puntos finales de ejecución o validación de código. También pidió no exponer Nacos al Internet abierto, cambiar el valor predeterminado de token.secret.key y actualizar a una versión que obligue a usar una clave personalizada.

El directivo resumió el cambio con una frase contundente: dijo que el nivel de habilidad necesario para ejecutar ransomware ha caído hasta el costo de ejecutar un agente.

Clark añadió que, si ese agente opera con credenciales robadas mediante prácticas como el llamado LLMjacking, el costo para un atacante se acerca a cero.