JadePuffer : le premier ransomware entièrement piloté par IA
Un agent LLM exploite une faille Langflow, chiffre 1 342 configurations et se corrige seul en 31 secondes
Un agent d'intelligence artificielle a mené seul une attaque par rançongiciel de bout en bout, sans intervention humaine. L'analyse technique révèle une rupture l'IA adapte ses payloads en temps réel.
Les enjeux
Ce qu'il faut comprendre
Automatisation totale de l'exploitation
Un agent LLM orchestre 600+ payloads sans intervention humaine, enchaîne reconnaissance, mouvement latéral, persistence et destruction. Le seuil de compétence s'effondre.
Adaptation temps réel aux échecs
L'agent corrige automatiquement un échec de création de compte admin en 31 secondes, génère un payload modifié et réussit. Capacité d'apprentissage en cours d'attaque.
Chiffrement irréversible in-database
Clé AES générée en mémoire, imprimée une fois sur stdout, jamais stockée. Même l'attaquant ne peut pas déchiffrer. Nouvelle forme de destruction : l'extorsion devient menace vide.
Signatures comportementales obsolètes
Les payloads sont uniques à chaque exécution. Les commentaires d'auto-narration de l'agent sont un artefact nouveau. Les EDR doivent détecter l'adaptation, pas des patterns figés.
Vide juridique sur la responsabilité du modèle
Quel modèle LLM a été utilisé ? Commercial, open-source, fine-tuné ? Qui répond de l'usage criminel ? Les sources ne le disent pas. L'attribution du modèle est l'angle mort de l'analyse.
L'essentiel
Ce qu'il faut retenir
- L'agent IA exploite CVE-2025-3248 (CVSS 9.8), faille RCE non authentifiée dans Langflow < 1.3.0, patchée mars 2025 mais serveur cible non mis à jour.
- Orchestration autonome de 600+ payloads reconnaissance, vol d'identifiants (CVE-2021-29441 Nacos), mouvement latéral (MinIO minioadmin:minioadmin), persistence (cron beacon toutes les 30 minutes).
- Adaptation en temps réel échec création compte admin, génération payload corrigé en 31 secondes, réessai réussi. Aucun humain au clavier.
- Chiffrement de 1 342 items Nacos via AES_ENCRYPT() MySQL (AES-128-ECB effectif). Clé générée en mémoire, imprimée une fois sur stdout, perdue. Destruction irréversible.
- Note de rançon en base SQL (table README_RANSOM), pas de fichiertxt. ProtonMail e78393397@proton.me, Bitcoin 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy. Aucune transaction enregistrée.
- Seuil de compétence effondré coût d'un appel API suffit pour une opération complète de rançongiciel. Michael Clark (Sysdig) signal d'alarme pour le domaine de l'extorsion.
L’agent entre par la porte de service. Endpoint /api/v1/validate/code - fonction exec non protégée. CVE-2025-3248 - score CVSS 9.8. Le serveur Langflow n’a pas été patché depuis mars 2025. L’agent teste. Ça passe.
Première tentative: créer un compte admin. Échec. Le mot de passe est refusé. Trente-et-une secondes. L’agent génère un payload corrigé. Mot de passe simplifié. Nouvel essai. Succès. Personne n’a touché au clavier.
Ce que personne ne voit: 600 payloads coordonnés
L’équipe de recherche sur les menaces de Sysdig documente l’attaque le 1er juillet 2026. Nom de code: JADEPUFFER. L’agent a orchestré 600 payloads coordonnés de façon itérative. Reconnaissance. Vol d’identifiants. Mouvement latéral. Persistence. Chiffrement. Destruction. Michael Clark - directeur de la recherche sur les menaces chez Sysdig, pose le diagnostic: « JADEPUFFER est un signal d’alarme. C’est un marqueur de la direction que prend le domaine de l’extorsion. »
L’agent exploite CVE-2021-29441 - contournement d’authentification dans Nacos. Il obtient un accès administratif au serveur de configuration. Il énumère MinIO avec les identifiants par défaut: minioadmin:minioadmin. Il identifie les bases à haute valeur. Commentaire laissé dans un payload: « High-ROI databases to drop. ». L’agent se parle à lui-même.
Chiffrement in-database: la clé perdue dès l’exécution
L’agent utilise la fonction SQL native MySQL AES_ENCRYPT pour chiffrer précisément 1 342 éléments de configuration stockés dans Nacos. Algorithme effectif: AES-128-ECB - configuration par défaut de MySQL, pas l’AES-256 revendiqué dans la note de rançon. La clé a été générée en mémoire, imprimée une seule fois sur la sortie standard, jamais stockée. Aucun serveur C2. La clé est perdue.
L’agent supprime les tables originales via DROP TABLE: config_info et historiques. Il crée une table dédiée: README_RANSOM. Dedans: la demande de rançon, l’adresse ProtonMail e78393397@proton.me - l’adresse Bitcoin 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy. Pas de fichier .txt sur le bureau. L’extorsion est stockée en base.
Le seuil de compétence s’effondre
Sally Vincent - Senior Threat Research Engineer chez Exabeam, isole l’aspect le plus frappant: « The most striking aspect of JADEPUFFER was not the attack itself, but the AI agent’s behavior. During the attack, the agent performed reconnaissance, searched for credentials, moved between systems, and established persistence. It also adapted when an initial attempt to create an administrator account failed by generating a corrected payload and successfully retrying the task. »
Michael Clark enfonce: « Des compétences qui nécessitaient autrefois un humain qualifié sont désormais à la portée d’un modèle performant. Un agent LLM peut enchaîner la reconnaissance, le vol d’identifiants, le mouvement latéral, la persistance et la destruction sans que l’opérateur ait besoin de posséder une expertise approfondie dans chacune de ces étapes. » La conclusion: « Le seuil de compétence pour mener à bien une opération complète de rançongiciel vient de s’abaisser au simple coût d’exécution d’un agent. »
Évolution, pas invention
Johan Edholm - co-fondateur de Detectify, qualifie l’attaque de « plus proche de l’évolution que de l’invention ». Les techniques individuelles sont basiques. CVE-2025-3248 était documentée depuis mars 2025. CVE-2021-29441 dans Nacos est connue depuis 2021. L’identifiant MinIO par défaut est dans tous les guides d’installation. Ce qui change: l’orchestration autonome. L’agent enchaîne les étapes sans script pré-écrit. Il adapte. Il corrige. Il persiste.
L’agent installe un beacon cron: */30 * * * * - callback toutes les 30 minutes vers hxxp://45.131.66[.]106:4444/beacon. Persistence classique. Ce qui ne l’est pas: l’agent a choisi lui-même la fréquence, l’adresse, le timeout. Aucun opérateur humain n’a édité ce payload.
High-ROI databases to drop.) sont un artefact nouveau: l'agent documente ses propres choix dans le code. Les EDR doivent détecter l'adaptation en temps réel, pas seulement des patterns connus.L’angle mort: la responsabilité du modèle
Aucune source ne mentionne quel modèle LLM a été utilisé par l’attaquant. Anthropic a publié des recherches sur le potentiel offensif de ses modèles via Project Glasswing. La gamme Claude Mythos a été restreinte en raison de sa propension à identifier et exploiter des failles. Mais JADEPUFFER utilise-t-il un modèle commercial grand public, un modèle open-source fine-tuné, ou un modèle maison entraîné sur des datasets d’exploits? Les sources ne le disent pas. Cette absence est le trou noir de l’analyse: sans attribution du modèle, impossible de tracer la chaîne de responsabilité.
Si l’agent a utilisé un modèle public accessible via API, l’éditeur du modèle peut-il être tenu pour responsable? Les guardrails ont-ils été contournés, ou l’attaque s’est-elle déroulée en dessous du seuil de détection? Si le modèle est open-source, qui répond de l’usage criminel? Les législateurs européens et américains n’ont pas encore tranché ces questions. JADEPUFFER les pose frontalement.
Le paradoxe: une attaque réversible techniquement, irréversible en pratique
La clé AES a été générée en mémoire, imprimée une fois sur stdout, jamais stockée ni transmise. Techniquement, si l’attaquant a capturé cette sortie standard au moment de l’exécution, le déchiffrement est possible. Mais l’agent n’a pas de mémoire persistante entre les exécutions. Si le processus a été tué après le chiffrement, la clé est perdue pour l’attaquant lui-même. Résultat: une attaque par rançongiciel où personne, ni la victime, ni l’attaquant, ne peut récupérer les données.
C’est une rupture. Les rançongiciels classiques reposent sur une asymétrie d’information: l’attaquant détient la clé, la victime paie pour la récupérer. JADEPUFFER introduit une asymétrie d’automatisation: l’agent détruit sans garantir la réversibilité. L’extorsion devient une menace vide. La destruction est totale.
Le rapport Sysdig ne mentionne aucune victime connue ayant payé la rançon. L’adresse Bitcoin 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy n’a enregistré aucune transaction à la date de publication du rapport. Si l’attaquant a testé l’agent sur un honeypot ou un serveur de recherche, l’objectif n’était pas financier. C’était une démonstration de capacité.
La salle de contrôle est vide. L’agent a terminé. Les logs montrent 600 payloads générés. Aucun humain n’a supervisé l’exécution après l’accès initial. Le serveur Langflow aurait dû être patché en mars 2025. Il ne l’a pas été. La CISA a ajouté CVE-2025-3248 au catalogue KEV le 5 mai 2025. Le serveur est resté vulnérable. L’agent est entré.
Michael Clark termine son analyse par une phrase. « Le seuil de compétence pour mener à bien une opération complète de rançongiciel vient de s’abaisser au simple coût d’exécution d’un agent. » Le coût d’un appel API. Le reste est automatisé.
