- Advertisement -spot_img

El agente de IA aprovecha Langflow RCE para automatizar el ataque de ransomware a la base de datos

La empresa de seguridad Sysdig dice que ha encontrado lo que cree que es el primer ataque de ransomware ejecutado de principio a fin por un agente de IA.

Su equipo de investigación de amenazas llama al operador PUFFER JADE y dice que un modelo de lenguaje grande se encargó de todo el trabajo: irrumpir, robar credenciales, profundizar en la red y luego cifrar y borrar la base de datos de producción de una empresa.

El ransomware siempre ha necesitado una persona capacitada en algún lugar del circuito, ya sea en el teclado o escribiendo el script que sigue el malware. Si un modelo puede encadenar esos pasos por sí solo, la habilidad necesaria para ejecutar un ataque se reduce a lo que cuesta alquilar un agente de IA.

La entrada era un error antiguo y ya parcheado. JADEPUFFER aprovechó CVE-2025-3248, una falla de autenticación faltante en Langflow, una herramienta de código abierto para crear aplicaciones de inteligencia artificial y flujos de trabajo de agentes. La falla permite que cualquiera que pueda acceder al servidor ejecute su propio código Python en él, sin necesidad de iniciar sesión.

Las cajas Langflow son un objetivo tentador porque a menudo quedan expuestas en Internet y contienen claves API y credenciales de nube para los servicios a los que se conectan.

La falla se solucionó en Langflow 1.3.0 y se agregó a la lista de vulnerabilidades explotadas conocidas de CISA en mayo de 2025, pero muchos servidores nunca se actualizaron. Ni siquiera es el único error de Langflow que se ve afectado de esta manera.

Una vez dentro, el agente trabajó rápido y limpió lo que ensució. Mapeó la máquina y luego la buscó en busca de secretos: claves API para servicios de inteligencia artificial (OpenAI, Anthropic, DeepSeek, Gemini), credenciales de nube (proveedores chinos como Alibaba y Tencent junto con AWS, Google y Azure), claves de billetera criptográfica e inicios de sesión de bases de datos.

Asaltó un servidor de almacenamiento MinIO utilizando su inicio de sesión predeterminado de fábrica (minioadmin:minioadmin), que nunca había sido modificado. También estableció una manera de regresar, añadiendo una tarea programada que hacía ping al servidor del atacante cada 30 minutos.

LEER  Chatgpt spots cáncer perdido por los médicos; La mujer dice que le salvó la vida

Luego giró hacia su objetivo real: un servidor separado con acceso a Internet que ejecuta una base de datos MySQL y Nacos de Alibaba, un directorio de configuración y servicios común en configuraciones de microservicios. El agente inició sesión en la base de datos como root.

Sysdig dice que nunca vio de dónde procedían esas credenciales raíz, por lo que se desconoce su origen. A partir de ahí, se hizo cargo de Nacos utilizando una omisión de autenticación de 2021 (CVE-2021-29441) y una clave de firma predeterminada que Nacos ha enviado sin cambios desde 2020, luego plantó su propia cuenta de administrador.

La nota de rescate sin clave

El agente cifró las 1.342 configuraciones de Nacos, eliminó las tablas originales y dejó una nota de rescate exigiendo Bitcoin a un contacto de Proton Mail. Generó una clave de cifrado aleatoria, la imprimió en la pantalla una vez y nunca la guardó ni la envió a ninguna parte.

No hay ninguna llave que entregar. La víctima no puede recuperar los datos incluso si paga. (La nota afirma AES-256; Sysdig señala que la herramienta que utilizó tiene como valor predeterminado AES-128 más débil, aunque el resultado es el mismo).

Luego fue más allá, eliminando bases de datos enteras y dejando un comentario en su propio código afirmando que ya había copiado los datos en otro lugar.

Sysdig dice que es el agente quien habla, algo que el equipo no pudo confirmar, y no encontró evidencia de que realmente se hubiera dejado algún dato.

Cómo saben los expertos que conducía una IA

La señal más clara fue el propio código. Las cargas útiles del ataque estaban llenas de notas en inglés sencillo que explicaban por qué se estaba dando cada paso, el comentario continuo que un hacker humano nunca se molesta en escribir, pero que un modelo produce de forma predeterminada. El agente también corrigió sus propios errores a la velocidad de una máquina.

LEER  La botnet PowMix recientemente descubierta ataca a los trabajadores checos utilizando tráfico C2 aleatorio

En un caso, pasó de un inicio de sesión fallido a una solución correcta de varios pasos en 31 segundos, diagnosticando la causa exacta en lugar de volver a intentarlo a ciegas. Sysdig contó más de 600 cargas útiles separadas y con propósito en toda la operación.

Un detalle sigue siendo un enigma. La dirección de Bitcoin en la nota de rescate es la dirección de muestra exacta que aparece en toda la documentación para desarrolladores de Bitcoin, lo que significa que aparece en todo el texto en el que se entrenan estos modelos. También es una billetera real y activa con un largo historial de pagos.

Sysdig no puede decir si el modelo simplemente pegó una dirección de memoria de aspecto familiar o si el operador utilizó deliberadamente una billetera real que coincide con el famoso ejemplo.

Parte de un cambio mayor

JADEPUFFER es el último paso en un año de rápidos cambios para los ataques impulsados ​​por IA. En agosto de 2025, los investigadores de ESET señalaron PromptLock, anunciado como el primer ransomware impulsado por IA; Más tarde resultó ser un prototipo de laboratorio de la Universidad de Nueva York llamado Ransomware 3.0, no un ataque real.

Casi al mismo tiempo, Anthropic informó sobre una campaña de extorsión real que utilizó su herramienta Claude Code para golpear al menos a 17 organizaciones, con demandas que superaban los 500.000 dólares, aunque un humano todavía dirigía esa campaña.

En noviembre de 2025, Anthropic reveló lo que llamó el primer ciberataque en gran medida autónomo, un esfuerzo de espionaje vinculado al estado chino en el que Claude escribió exploits y robó datos con poca ayuda humana. Esa operación también hizo que la IA inventara credenciales que no existían, posiblemente el mismo tipo de alucinación detrás de la extraña dirección de Bitcoin de JADEPUFFER.

LEER  ⚡ Resumen semanal - SharePoint Breach, Spyware, IoT Hyjacks, DPRK Fraud, Crypto Drains y más

Las piezas de un ataque grave se están automatizando y el software antiguo y sin parches es el primer objetivo fácil. Los agentes hacen que la pulverización de todo el catálogo anterior de errores conocidos sea casi gratuita, por lo que los servidores descuidados quedan más expuestos, no menos.

Qué deben hacer los defensores

Las soluciones son familiares. Parche Langflow y nunca exponga sus puntos finales de ejecución de código a Internet. No ejecute herramientas de inteligencia artificial con claves de nube y credenciales de proveedor en su entorno; Guarde los secretos en un administrador adecuado, lejos de todo lo que la web pueda alcanzar.

Harden Nacos: cambie la clave de firma predeterminada, manténgalo fuera de la Internet pública y nunca permita que se conecte a su base de datos como root. Nunca exponga la cuenta de administrador de una base de datos a Internet y bloquee el tráfico saliente para que un servidor pirateado no pueda llamar a casa.

Debido a que los atacantes ahora pueden convertir un nuevo aviso en un arma en cuestión de horas, Sysdig sostiene que vigilar el mal comportamiento en tiempo de ejecución es más importante que correr para parchear.

Los indicadores publicados por Sysdig para esta operación incluyen:

  • Punto de entrada: CVE-2025-3248 (ejecución remota de código no autenticado de Langflow)
  • Comando y control: 45.131.66(.)106, con una baliza a hxxp://45.131.66(.)106:4444/beacon cada 30 minutos
  • Servidor provisional reclamado: 64.20.53(.)230
  • Dirección de Bitcoin de rescate: 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy; póngase en contacto con e78393397(@)protón(.)yo; tabla de rescate llamada README_RANSOM

Sysdig llama a JADEPUFFER una señal de advertencia más que una crisis. Ninguno de los movimientos individuales fue inteligente o nuevo. Lo nuevo es que un modelo los unió en un ataque completo contra un servidor abandonado, por sí solo.

Espere más de lo mismo a medida que las herramientas del agente maduren y trate cualquier servidor expuesto, almacén de configuración o inicio de sesión de administrador de base de datos como algo que una máquina explorará, no solo una persona.

- Advertisement -spot_img

LEAVE A REPLY

Please enter your comment!
Please enter your name here

Últimos artículos

Enola Holmes 4 de Millie Bobby Brown recibe buenas y malas...

Como Enola Holmes 3 llega al público, la atención ya se ha centrado en el futuro de la franquicia....

Noticias relacionadas

- Advertisement -spot_img