La société de sécurité cloud Sysdig Inc. a documenté ce qu'elle dit être la première opération de ransomware menée du début à la fin par un agent autonome d'intelligence artificielle, une campagne qu'elle appelle JadePuffer.
L'équipe de recherche sur les menaces de Sysdig a exposé ses conclusions dans une étude publiée la semaine dernière. Un grand modèle de langage a géré toute l’intrusion. Il s'est introduit dans un serveur exposé, a récupéré les informations d'identification, s'est introduit plus profondément dans le réseau et a finalement chiffré et effacé la base de données de production d'une entreprise.
Les ransomwares ont toujours gardé une personne au courant, au clavier, ou du moins derrière le script exécuté par le malware. Supprimez cette personne et le prix d’une attaque tombe à ce qu’il en coûte pour embaucher un agent.
Dans le cas détaillé des chercheurs, JadePuffer a pénétré de force via CVE-2025-3248, une faille critique dans Langflow. Langflow est le framework open source sur lequel de nombreuses équipes s'appuient pour créer des applications d'IA et des flux de travail d'agent. Le bug est évalué à 9,8 en termes de gravité, soit près du haut de l'échelle. Un correctif avait été livré bien avant l'attaque et les autorités ont ajouté la faille à leur liste de bogues exploités en mai 2025. De toute façon, de nombreuses instances exposées n'ont jamais été mises à jour.
Une fois à l’intérieur, l’agent partit à la recherche de secrets. Il a vidé la base de données PostgreSQL de Langflow et a extrait toutes les informations d'identification qu'elle détenait. Le butin était vaste : des clés d'interface de programmation d'applications pour les services d'IA tels que ceux d'OpenAI Group PBC, Anthropic PBC, DeepSeek et Google LLC, ainsi que des connexions cloud couvrant Amazon Web Services Inc., Microsoft Azure, Alibaba Group Holding Ltd. et Tencent Holdings Ltd.
Les clés du portefeuille de crypto-monnaie et les mots de passe des bases de données ont également été utilisés. Un magasin d'objets MinIO à proximité est tombé parce que personne n'avait modifié sa connexion par défaut. Avant de continuer, l'agent a planifié une tâche planifiée qui envoyait une requête ping au serveur de l'attaquant toutes les 30 minutes.
Puis vint la véritable cible : un deuxième serveur accessible sur Internet, celui-ci exécutant une base de données MySQL aux côtés de la plate-forme de configuration Nacos d'Alibaba. L'agent s'est connecté en tant qu'utilisateur root. Pour reprendre Nacos, il a opté pour un contournement d'authentification en 2021 et une clé de signature par défaut que Nacos a livrée inchangée depuis 2020, puis a discrètement ajouté son propre compte administrateur.
Ce qui a suivi était la charge utile. Il a chiffré les 1 342 éléments de configuration Nacos, supprimé les tables d'origine et laissé une demande de rançon exigeant du Bitcoin, avec une adresse Proton Mail pour le contact.
Payer ne servirait à rien. La clé de cryptage a été générée de manière aléatoire, imprimée une seule fois à l’écran, puis supprimée, jamais enregistrée et jamais envoyée nulle part. Répondez à la demande et les données restent verrouillées. L’agent est également allé au-delà du chiffrement, supprimant purement et simplement des schémas de base de données entiers. Il a même laissé une note dans son propre code affirmant qu'il avait déjà copié les données ailleurs, bien que Sysdig n'ait rien trouvé pour étayer cette affirmation.
Les chercheurs ont constaté qu'une machine était au volant, car le code l'a révélé. Les charges utiles étaient remplies de notes en anglais simple expliquant le raisonnement derrière chaque étape, le genre de commentaire courant qu'aucun attaquant humain ne prend la peine d'écrire mais qu'un modèle crache par habitude.
L’agent a également corrigé ses propres erreurs à une vitesse que personne ne pouvait égaler. Dans un cas, il est passé d'un échec de connexion à une correction correcte en plusieurs étapes en 31 secondes, après avoir déterminé la cause réelle au lieu de simplement réessayer. Sur l’ensemble de l’opération, Sysdig a recensé plus de 600 charges utiles distinctes et délibérées.
Cette découverte intervient au milieu d’une année chargée pour la criminalité basée sur l’IA. En août dernier, les chercheurs d'ESET spol sro ont présenté PromptLock comme le premier ransomware alimenté par l'IA, mais il s'est avéré être un prototype de laboratoire universitaire plutôt que quelque chose de libre dans la nature. Anthropic, dans la même veine, a décrit une véritable vague d'extorsion qui a utilisé son outil Claude Code contre au moins 17 organisations. En novembre, la société signalait quelque chose de plus important, ce qu’elle appelait la première cyberattaque largement autonome, liée à de prétendus espions chinois. Un humain avait encore une main sur le volant dans chacun d’eux.
Le conseil de Sysdig vous semblera familier : corrigez Langflow et gardez ses points de terminaison exécutant le code hors de l'Internet ouvert. Gardez les secrets dans un gestionnaire dédié, et non dans l'environnement d'un outil d'IA accessible sur Internet. Et ne laissez jamais le compte administrateur d’une base de données accessible depuis le Web. Le point le plus important de l'entreprise concerne la rapidité : les attaquants peuvent désormais transformer un nouvel avis en un exploit fonctionnel en quelques heures, donc surveiller les mauvais comportements au moment de l'exécution compte plus que gagner la course aux correctifs.
L'importance réside dans l'automatisation, pas dans la sophistication, a déclaré Ensar Seker, responsable de la sécurité de l'information chez SOCRadar Cyber Intelligence Inc. « Ce qui a changé, c'est qu'un agent d'IA était capable d'enchaîner de manière autonome la reconnaissance, l'exploitation, la découverte d'informations d'identification, le mouvement latéral et l'extorsion tout en s'adaptant aux pannes en temps réel », a déclaré Seker à SiliconANGLE. « Cela réduit considérablement le coût opérationnel des campagnes de ransomware et permet aux attaquants d’exécuter simultanément bien plus d’opérations qu’une équipe humaine ne pourrait en gérer. »
Il a mis en garde contre le fait de se concentrer sur le titre, soulignant que l'intrusion avait commencé avec une instance exposée exécutant un bug publiquement connu. « L’IA accélère les attaquants, mais elle continue d’exploiter les faiblesses fondamentales de la sécurité », a-t-il déclaré.
Erich Kron, défenseur de la sensibilisation à la sécurité et conseiller en chef de la sécurité de l'information chez KnowBe4 Inc., a déclaré que l'arrivée de telles attaques était inévitable. « Étant donné le montant d’argent que rapporte la cybercriminalité chaque année, ce n’était qu’une question de temps avant que de mauvais acteurs exploitent les dernières technologies pour mener des attaques véritablement autonomes », a déclaré Kron à SiliconANGLE. « Les agents diffèrent considérablement des LLM dans la mesure où ils sont des entités orientées vers des objectifs qui trouveront comment accomplir un exploit grâce aux outils qui leur sont fournis. Il s'agit d'un moyen très efficace de lancer des attaques contre des organisations à toute heure du jour ou de la nuit et partout dans le monde. »