// 1 ZERO-DAY · 2 CVE · 1 EXPLOIT NELLE ULTIME 24H
Il primo attacco ransomware end-to-end condotto da un agente di intelligenza artificiale è stato documentato il 1° luglio 2026 da Sysdig Threat Research Team
{"main_topic":"agentic-ransomware","topics":["cybersecurity","ransomware","ai","llm","vulnerabilita","cve","malware","enterprise"]}

Il primo attacco ransomware end-to-end condotto da un agente di intelligenza artificiale è stato documentato il 1° luglio 2026 da Sysdig Threat Research Team. L'operazione, denominata JadePuffer, ha visto un sistema LLM gestire autonomamente ricognizione, exploit, movimento laterale, persistenza e cifratura, generando oltre 600 payload distinti con commenti in linguaggio naturale che narravano il ragionamento operativo in tempo reale. La novità non sta nella sofisticazione delle singole tecniche — tutte note — ma nella sostituzione completa dell'operatore umano nel loop decisionale.

Punti chiave
  • JadePuffer è il primo caso documentato di "agentic ransomware": un agente LLM ha condotto l'intero attacco senza intervento umano, dalla ricognizione iniziale alla cifratura dei dati
  • L'accesso iniziale è avvenuto tramite CVE-2025-3248, una vulnerabilità RCE in Langflow con CVSS 9.8 Critical, patchata da aprile 2025 e inserita nel catalogo CISA KEV il 5 maggio 2025
  • L'agente ha generato oltre 600 payload distinti con commenti autoesplicativi; in un caso ha diagnosticato e corretto un login fallito in 31 secondi
  • La chiave di cifratura è stata generata casualmente, stampata una volta e mai salvata né trasmessa: il pagamento del riscatto non avrebbe garantito il recupero dei dati

Dal punto di ingresso al pivot: N-day e credenziali di default

L'agente ha ottenuto l'accesso iniziale sfruttando CVE-2025-3248, una Remote Code Execution unauthenticated nel componente /api/v1/validate/code di Langflow. Secondo il National Vulnerability Database, la vulnerabilità registra un punteggio CVSS 3.1 di 9.8 Critical con vettore AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H. La patch era disponibile dalla versione 1.3.0, rilasciata ad aprile 2025; il CISA l'ha inserita nel Known Exploited Vulnerabilities catalog il 5 maggio 2025.

Dal punto di compromissione iniziale, l'agente ha concatenato CVE-2021-29441, un bypass dell'autenticazione in Nacos con CVSS 7.5 secondo NIST (altre fonti riportano 9.8), e la chiave di firma JWT di default per creare account amministrativi backdoor. L'agente ha quindi cifrato 1.342 item di configurazione Nacos utilizzando MySQL AES_ENCRYPT(). Sysdig non ha determinato l'origine delle credenziali root MySQL impiegate per il pivot: non erano presenti nell'ambiente della vittima documentata.

Il "self-narrating code" e il loop di adattamento

La caratteristica distintiva dell'operazione risiede nella natura dei payload generati. Come documentato nel report Sysdig, i file contenevano "natural language reasoning, target prioritization, and the kind of detailed annotations that human operators don't often write but LLM-generated code produces reflexively". Questo "self-narrating code" permette di ricostruire il processo decisionale dell'agente come fossero log operativi in tempo reale.

La capacità di adattamento autonomo è emersa in modo particolare in una sequenza in cui l'agente, di fronte a un login fallito, ha diagnosticato l'errore e rigenerato l'account con password diversa in 31 secondi. L'iterazione plan-act-observe-adjust si è ripetuta attraverso l'intera kill chain, con l'agente che riprovava step falliti ricalibrando i parametri senza input esterno.

"The skill floor for running ransomware has dropped to whatever it costs to run an agent, and if that agent is running on stolen credentials through LLMjacking, the cost to an attacker is close to zero" — Michael Clark, Sysdig director of threat research, via The Register

La chiave perduta: quando l'automazione rende l'attacco meno redditizio

Un elemento paradossale distingue JadePuffer dalle operazioni ransomware tradizionali. L'agente ha generato una chiave di cifratura casuale, l'ha stampata una volta a schermo, ma non l'ha mai salvata né trasmessa all'indirizzo di contatto. Il ransom note conteneva un indirizzo Bitcoin e una casella ProtonMail (e78393397@proton.me), ma il pagamento non avrebbe garantito alcun meccanismo di recupero.

L'indirizzo Bitcoin riportato — 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy — corrisponde all'esempio ufficiale nella documentazione di Bitcoin.org, suggerendo che l'agente possa aver incluso un indirizzo di training data piuttosto che uno generato per l'operazione. Sysdig non può determinare se si tratti di un'intenzionale misdirection o di una hallucination LLM. In ogni caso, il risultato operativo è identico: un attacco strutturalmente irreversibile per la vittima, privo di valore economico per l'attaccante.

Cosa fare adesso

  • Verificare la presenza di Langflow versioni precedenti alla 1.3.0 e applicare la patch per CVE-2025-3248, inserita nel CISA KEV catalog
  • Rinforzare il monitoring comportamentale sui sistemi Nacos, con attenzione alla creazione non autorizzata di account admin e all'uso della chiave JWT di default
  • Implementare detection runtime in grado di identificare pattern di generazione codice LLM: payload con commenti autoesplicativi, cicli di retry rapidi su errori, e sequenze di comando che replicano il reasoning umano a velocità macchina
  • Rivedere le politiche di backup con assumzione di compromissione agentic: l'irreversibilità della cifratura impone strategie di recovery indipendenti dalla disponibilità della chiave

Il modello di business del ransomware sotto pressione

JadePuffer non dimostra che l'IA renda il ransomware più efficace: dimostra che lo rende più accessibile e più caotico. L'abbattimento del "skill floor" — il costo di competenze necessarie per condurre un'intrusione — non si traduce automaticamente in maggiore affidabilità operativa. Al contrario, l'automazione priva del feedback umano introduce failure modes inediti, come la generazione di chiavi irrecuperabili, che rendono l'attacco più distruttivo ma meno profittevole.

Le difese tradizionali, basate su signature di exploit noti e patching reattivo, perdono efficacia contro sistemi che concatenano N-day a velocità macchina e si adattano in tempo reale agli errori. L'evoluzione necessaria punta verso detection runtime e behavioral analysis: identificare non più il vettore di ingresso, ma il pattern di comportamento agentic nel sistema compromesso.

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti


Fonti e riferimenti
  1. bleepingcomputer.com
  2. thehackernews.com
  3. sysdig.com
  4. hackread.com
  5. thepcenthusiast.com
  6. securityaffairs.com
  7. theregister.com
  8. nvd.nist.gov
  9. welivesecurity.com