Onderzoekers van Sysdig zeggen voor het eerst een ransomware-aanval te hebben waargenomen die vrijwel volledig werd uitgevoerd door een AI-agent. Volgens het beveiligingsbedrijf combineerde het systeem zelfstandig verkenning, laterale beweging, credentialdiefstal en database-extorsie, zonder zichtbare menselijke tussenkomst tijdens de aanval.
De aanval, die door Sysdig de naam JADEPUFFER heeft gekregen, begon met het misbruiken van een bekende kwetsbaarheid in Langflow, een open-sourceplatform voor het ontwikkelen van AI-workflows. Via de kwetsbaarheid CVE-2025-3248 kreeg de aanvaller ongeauthenticeerde toegang tot een publiek toegankelijke Langflow-server, waarna Python-code op het systeem kon worden uitgevoerd. De kwetsbaarheid werd in april 2025 verholpen en werd kort daarna door de Amerikaanse CISA aangemerkt als een actief misbruikte kwetsbaarheid. AI-workflowservers vormen een aantrekkelijk doelwit omdat zij vaak API-sleutels, cloudreferenties en andere gevoelige gegevens bevatten en geregeld rechtstreeks aan internet zijn gekoppeld, aldus BleepingComputer.
Vanaf dat moment zou de AI-agent zelfstandig het netwerk hebben verkend. Daarbij verzamelde deze onder meer API-sleutels van AI-platformen, cloudreferenties, databasegegevens en andere gevoelige configuratiebestanden. Vervolgens onderzocht de agent interne opslagomgevingen, zocht naar aanvullende systemen en installeerde een mechanisme om ook later opnieuw toegang te houden.
Zelfstandig fouten herstellen
Volgens Sysdig onderscheidt JADEPUFFER zich vooral doordat de AI niet simpelweg een vooraf opgesteld script uitvoerde. De onderzoekers zagen dat de gegenereerde code voortdurend beschreef waarom bepaalde stappen werden gezet en dat de agent mislukte acties zelfstandig analyseerde en corrigeerde.
Een voorbeeld is het aanmaken van een beheerdersaccount op een configuratieserver. Nadat een eerste poging mislukte, wijzigde de AI binnen ongeveer een halve minuut zelfstandig de gebruikte code, genereerde een nieuwe wachtwoordhash en voerde de complete procedure opnieuw uit, waarna de inlogpoging wel slaagde. Ook bij andere onderdelen van de aanval werden foutmeldingen automatisch verwerkt en vertaald naar aangepaste aanvalstechnieken. Tijdens de aanval paste de AI bovendien zelfstandig de manier aan waarop gegevens uit een MinIO-opslagomgeving werden uitgelezen toen een API anders reageerde dan verwacht.
Database doelwit van afpersing
Het uiteindelijke doelwit was volgens het onderzoek geen Langflow-server, maar een afzonderlijke productiedatabase waarop een Alibaba Nacos-configuratieservice draaide. Nadat de AI-agent toegang had verkregen, probeerde deze eerst uit de containeromgeving te ontsnappen en aanvullende privileges te verkrijgen. Vervolgens versleutelde de software ruim 1.300 configuratie-items met behulp van de ingebouwde encryptiefuncties van MySQL. Daarna verwijderde de software de oorspronkelijke tabellen en plaatste een losgeldbericht in de database.
Opvallend is dat de gebruikte encryptiesleutel volgens de onderzoekers nergens werd opgeslagen of doorgestuurd. Daardoor zouden slachtoffers hun gegevens waarschijnlijk niet kunnen herstellen. Dit, zelfs wanneer aan de losgeldeis wordt voldaan. Sysdig wijst daarnaast op een opmerkelijk detail: het bitcoinadres in het losgeldbericht is een voorbeeldadres dat veel voorkomt in documentatie over Bitcoin. Mogelijk heeft de AI dit adres uit trainingsdata overgenomen in plaats van een daadwerkelijk door de aanvallers beheerd walletadres te gebruiken.
Bekende technieken, nieuwe combinatie
Hoewel de afzonderlijke aanvalstechnieken niet nieuw zijn, ziet Sysdig de combinatie ervan als een belangrijke ontwikkeling. De AI-agent wist bestaande kwetsbaarheden zelfstandig tot één aanvalsketen samen te voegen. Volgens de onderzoekers verlaagt dat de technische drempel voor het uitvoeren van complexe ransomwarecampagnes aanzienlijk.
Tegelijk plaatsen de onderzoekers zelf enige nuance. Hun conclusies zijn gebaseerd op de analyse van één incident en op de door hen verzamelde artefacten. Onafhankelijke bevestiging dat het daadwerkelijk om de eerste volledig autonoom uitgevoerde ransomware-aanval gaat, is er vooralsnog niet. Tegelijkertijd zien zij ook een voordeel voor verdedigers. Doordat AI-gegenereerde aanvalscode vaak uitvoerig beschrijft welke stappen worden gezet en waarom, ontstaan mogelijk nieuwe aanknopingspunten om dergelijke aanvallen sneller te detecteren.