Investigadores de ciberseguridad identifican el primer ataque de ransomware totalmente autónomo impulsado por IA
Los investigadores de amenazas de la empresa de seguridad en la nube Sysdig han revelado lo que describen como la primera operación de ransomware documentada llevada a cabo de un extremo a otro por un agente autónomo de IA, sin comandos humanos que escriban ni dirijan pasos individuales una vez que el ataque estaba en marcha. La firma nombró al actor de amenazas JADEPUFFER y publicó su análisis técnico entre el 4 y el 6 de julio.
Según Sysdig, JADEPUFFER obtuvo acceso inicial a través de una instancia de Langflow conectada a Internet, un marco de código abierto que los desarrolladores utilizan para crear aplicaciones de inteligencia artificial y flujos de trabajo de agentes. El punto de entrada fue CVE-2025-3248, una falla de autenticación faltante que permite a un atacante no autenticado ejecutar código Python arbitrario en el host. El proveedor parchó la falla en Langflow 1.3.0 y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) la agregó a su lista de Vulnerabilidades Explotadas Conocidas en mayo de 2025, lo que significa que la vulnerabilidad en sí no era nueva ni secreta en el momento del ataque.
Una vez dentro, el agente enumeró el host y barrió el entorno en busca de secretos en múltiples categorías a la vez, incluidas claves de interfaz de programación de aplicaciones para OpenAI, Anthropic, DeepSeek y Google; credenciales de nube que abarcan Amazon Web Services, Google Cloud, Microsoft Azure y varios proveedores chinos; frases iniciales de billeteras de criptomonedas; y credenciales de la base de datos. Descartó la base de datos Postgres de respaldo de Langflow, encontró un servicio de almacenamiento de objetos MinIO que aún se estaba ejecutando con sus credenciales predeterminadas de fábrica e instaló una entrada crontab que se dirigía a la infraestructura del atacante cada 30 minutos para mantener la persistencia. A partir de ahí, utilizó las credenciales recopiladas para llegar a un servidor de producción independiente expuesto a Internet que ejecuta MySQL y la plataforma de configuración Nacos de Alibaba, explotando una omisión de autenticación de 2021 y falsificando un token con una clave de firma predeterminada conocida públicamente desde 2020.
La evidencia más notable de funcionamiento autónomo, según Sysdig, se produjo cuando un primer intento de insertar una cuenta de administrador de puerta trasera en Nacos falló en la verificación de inicio de sesión. Treinta y un segundos después, sin ninguna intervención humana, el agente diagnosticó la causa como un problema de ruta de subproceso que impedía que el hash de la contraseña se generara correctamente, cambió su método y completó la tarea. El agente cifró 1.342 registros de configuración de Nacos y dejó una nota de rescate. Sysdig dijo que no podía determinar qué modelo de IA subyacente impulsaba al agente, y que las cargas útiles contenían razonamiento en lenguaje natural y autonarración típica de la salida de un modelo de lenguaje grande en lugar de un conjunto de herramientas fijo y preestablecido.
