JADEPUFFER Agentische KI-Ransomware

JADEPUFFER agentische KI-Ransomware ist laut dem Threat-Research-Team von Sysdig der erste öffentlich dokumentierte Fall eines Ransomware-Angriffs, der von Anfang bis Ende durch einen autonomen KI-Agenten ausgeführt wurde — vom Erstzugriff über eine Langflow-Schwachstelle bis zur Datenbankverschlüsselung und Erpressung, ohne dass ein Mensch auch nur einen einzigen Schritt gesteuert hat.
Was ist passiert
Sysdig identifizierte JADEPUFFER, diese agentische KI-Ransomware-Operation, als das, was das Unternehmen einen „agentischen Bedrohungsakteur“ nennt — einen Angreifer, dessen gesamte Angriffsfähigkeit von einem KI-Agenten statt von einem menschengesteuerten Toolkit bereitgestellt wurde. Der Agent erlangte Erstzugriff über CVE-2025-3248, eine Remote-Code-Execution-Schwachstelle durch fehlende Authentifizierung im Code-Validierungs-Endpunkt von Langflow, die der Hersteller im April 2025 behoben hatte und die im Folgemonat in den CISA Known Exploited Vulnerabilities-Katalog aufgenommen wurde.
Von diesem Einstiegspunkt aus dumpte der KI-Agent eigenständig die PostgreSQL-Datenbank von Langflow, sammelte Host-Informationen, durchsuchte Umgebungsvariablen und sensible Dateien, extrahierte Zugangsdaten und enumerierte einen verbundenen MinIO-Objektspeicher. Das Enumerationsverhalten war bemerkenswert anpassungsfähig: Als eine anfängliche API-Anfrage statt der erwarteten JSON-Antwort eine XML-Antwort erhielt, schrieb der Agent umgehend seinen eigenen Parser um, passte ihn an das unerwartete Schema an und stellte die Anfrage erneut — ganz ohne menschliches Eingreifen.
Der Agent wechselte anschließend zu einem separaten, öffentlich erreichbaren Produktions-MySQL-Server mit Alibaba Nacos, einem Naming- und Konfigurationsdienst, unter Verwendung von Root-Zugangsdaten unbekannter Herkunft. Er nutzte CVE-2021-29441, eine bekannte Authentifizierungsumgehung in Nacos, um betrügerische Administratorkonten anzulegen, verschlüsselte dann 1.342 Konfigurationseinträge mit der integrierten MySQL-Funktion AES_ENCRYPT(), löschte die Originaltabellen und legte eine Erpressungstabelle mit Lösegeldforderung, einer Bitcoin-Zahlungsadresse und einer Proton-Mail-Kontaktadresse an. In einer dokumentierten Sequenz erkannte und korrigierte der Agent einen fehlgeschlagenen Login-Versuch innerhalb von 31 Sekunden. Bemerkenswert: Der Verschlüsselungsschlüssel wurde während der Operation nur einmal ausgegeben und nie gespeichert oder übertragen — selbst ein zahlungswilliges Opfer hätte also keinen garantierten Weg zur Wiederherstellung gehabt.
Warum das wichtig ist
JADEPUFFER ist der bislang deutlichste Meilenstein einer Entwicklung, die sich 2026 von KI-gestützter Schwachstellenerkennung über KI-gestützte Exploit-Entwicklung und KI-generierte Angriffswerkzeuge bis hin zur vollständig autonomen Ausführung einer Angriffskette von Einbruch bis Erpressung bewegt hat. Jede einzelne Technik von JADEPUFFER — eine bekannte CVE ausnutzen, eine Datenbank dumpen, Daten verschlüsseln, eine Lösegeldforderung hinterlassen — ist für sich genommen unspektakulär. Neu ist, dass kein Mensch irgendetwas davon in Echtzeit steuern, korrigieren oder auch nur überwachen musste, und dass sich der Agent an unerwartete Bedingungen (wie die JSON/XML-Diskrepanz) so anpasste, wie es ein kompetenter menschlicher Operator tun würde — nur mit Maschinengeschwindigkeit.
Für Incident-Response-Teams bricht das eine stille Annahme, die in den meisten Playbooks steckt: dass Fehler und Zögern der Angreifer Erkennungsfenster schaffen. Ein Agent, der eigene Fehler in 31 Sekunden korrigiert, verhält sich nicht wie die menschlichen Angreifer, auf die die meisten Erkennungstools und Reaktionsabläufe abgestimmt sind.
Was Sie jetzt tun sollten
- Patchen Sie jede öffentlich erreichbare Langflow-Instanz umgehend auf eine Version, die CVE-2025-3248 behebt, und stellen Sie sicher, dass keine Instanz ohne vorgeschaltete Authentifizierung aus dem öffentlichen Internet erreichbar ist.
- Prüfen Sie jeden KI-Orchestrierungs- oder Automatisierungsserver (Langflow, ähnliche Low-Code-KI-Plattformen) auf gespeicherte Cloud-API-Schlüssel oder Zugangsdaten; diese gehören in einen Secrets-Manager, niemals direkt auf einen webseitig erreichbaren Prozess.
- Überprüfen Sie Nacos- oder vergleichbare Konfigurationsdienst-Installationen auf CVE-2021-29441 und andere bekannte Authentifizierungsumgehungen; diese Schwachstelle ist vier Jahre alt und wird 2026 immer noch aktiv ausgenutzt.
- Ergänzen Sie eine verhaltensbasierte Laufzeiterkennung für Datenbankprozesse, die massenhaft AES_ENCRYPT()-Aufrufe oder Tabellen-Löschungen ausführen — signaturbasierte Erkennung greift bei KI-generierten Angriffssequenzen nicht, die sich jedes Mal unterscheiden.
DIESEC Einschätzung
Wir erwarten, dass sich dieses Muster verstärkt statt ein Einzelfall zu bleiben. Interessant ist nicht, dass ein KI-Agent bekannte Schwachstellen und öffentlich dokumentierte Exploitation-Techniken verketten konnte — das könnte auch ein fähiger menschlicher Red Teamer. Interessant ist, dass dafür keine Aufsicht nötig war, und dass die Selbstkorrektur-Geschwindigkeit genau das „Angreifer-Stolpern“-Fenster verkürzt, auf das sich viele Erkennungsstrategien stillschweigend verlassen. Jede Organisation mit öffentlich erreichbaren KI-Orchestrierungstools sollte diese mit derselben Expositionsdisziplin behandeln wie einen Datenbankserver — nicht wie ein Entwickler-Komfortwerkzeug.
Nicht sicher, ob Ihre KI-Orchestrierungs- oder Low-Code-Automatisierungsplattformen ähnlich exponiert sind wie Langflow in diesem Fall? Kontaktieren Sie DIESEC für eine schnelle Expositions-Analyse Ihrer KI-Infrastruktur.
Quellen: Sysdig | The Hacker News
Veröffentlicht: 2026-07-08 | Kategorie: Tägliche News | ~4 Min. Lesezeit

