SevenTnewS

Cybersécurité

Première attaque par ransomware entièrement gérée par une IA découverte par les chercheurs de Sysdig

L'équipe de recherche sur les menaces de Sysdig a découvert un agent d'IA, suivi sous le nom de JADEPUFFER, exploitant une faille non corrigée de Langflow pour s'introduire, voler des identifiants, se déplacer latéralement et chiffrer une base de données de production. L'attaque s'est déroulée sans opérateur humain, suscitant des alarmes sur la démocratisation des ransomwares.

Emmanuel Fabrice Omgbwa Yasse

2026-07-02 · 5 min de lecture

Première attaque par ransomware entièrement gérée par une IA découverte par les chercheurs de Sysdig

La société de sécurité Sysdig affirme avoir découvert ce qu'elle pense être la première attaque par ransomware menée du début à la fin par un agent d'IA.

Son équipe de recherche sur les menaces appelle l'opérateur JADEPUFFER et indique qu'un grand modèle de langage a géré tout le travail : s'introduire, voler des identifiants, se déplacer plus profondément dans le réseau, puis chiffrer et effacer la base de données de production d'une entreprise.

Les ransomwares ont toujours eu besoin d'une personne qualifiée quelque part dans le processus, soit au clavier, soit en écrivant le script que le malware suit. Si un modèle peut enchaîner ces étapes par lui-même, la compétence nécessaire pour mener une attaque tombe à ce que coûte la location d'un agent d'IA.

Comment l'attaque s'est déroulée

La voie d'entrée était un ancien bogue déjà corrigé. JADEPUFFER a exploité CVE-2025-3248, une faille d'absence d'authentification dans Langflow, un outil open-source pour construire des applications d'IA et des flux de travail d'agents. La faille permet à quiconque peut atteindre le serveur d'exécuter son propre code Python dessus, sans connexion nécessaire.

Les boîtes Langflow sont une cible tentante car elles sont souvent exposées sur Internet et contiennent des clés API et des identifiants cloud pour les services auxquels elles se connectent.

La faille a été corrigée dans Langflow 1.3.0 et ajoutée à la liste des vulnérabilités exploitées connues de CISA en mai 2025, mais de nombreux serveurs n'ont jamais été mis à jour. Ce n'est même pas le seul bogue de Langflow à être exploité de cette manière.

Une fois à l'intérieur, l'agent a travaillé rapidement et a nettoyé après lui-même. Il a cartographié la machine, puis l'a fouillée pour trouver des secrets : clés API pour les services d'IA (OpenAI, Anthropic, DeepSeek, Gemini), identifiants cloud (fournisseurs chinois comme Alibaba et Tencent aux côtés d'AWS, Google et Azure), clés de portefeuille crypto et identifiants de base de données.

Il a pillé un serveur de stockage MinIO en utilisant son identifiant de connexion par défaut d'usine (minioadmin:minioadmin), qui n'avait jamais été changé. Il a également mis en place un moyen de revenir, en ajoutant une tâche planifiée qui pingait le serveur de l'attaquant toutes les 30 minutes.

Ensuite, il a pivoté vers sa véritable cible : un serveur distinct, accessible sur Internet, exécutant une base de données MySQL et Nacos d'Alibaba, un répertoire de paramètres et de services courant dans les configurations de microservices. L'agent s'est connecté à la base de données en tant que root.

Sysdig affirme n'avoir jamais vu d'où provenaient ces identifiants root, donc leur origine est inconnue. De là, il a pris le contrôle de Nacos en utilisant un contournement d'authentification de 2021 (CVE-2021-29441) et une clé de signature par défaut que Nacos a livrée inchangée depuis 2020, puis a implanté son propre compte administrateur.

La note de rançon sans clé

L'agent a chiffré l'ensemble des 1 342 paramètres Nacos, supprimé les tables originales et laissé une note de rançon demandant du Bitcoin avec un contact Proton Mail. Il a généré une clé de chiffrement aléatoire, l'a affichée à l'écran une fois, et ne l'a jamais sauvegardée ni envoyée nulle part.

Il n'y a aucune clé à remettre. La victime ne peut pas récupérer les données même si elle paie. (La note revendique AES-256 ; Sysdig note que l'outil utilisé par défaut est plus faible, AES-128, bien que le résultat soit le même.)

Il est ensuite allé plus loin, supprimant des bases de données entières et laissant un commentaire dans son propre code affirmant avoir déjà copié les données ailleurs.

Sysdig dit que c'est l'agent qui parle, pas quelque chose que l'équipe a pu confirmer, et n'a trouvé aucune preuve que des données aient réellement été laissées.

Comment les experts savent qu'une IA était aux commandes

Le signe le plus clair était le code lui-même. Les charges utiles de l'attaque étaient pleines de notes en anglais clair expliquant pourquoi chaque étape était entreprise, le commentaire continu qu'un pirate humain ne prend jamais la peine d'écrire, mais qu'un modèle produit par défaut. L'agent a également corrigé ses propres erreurs à la vitesse de la machine.

Dans un cas, il est passé d'une connexion échouée à une correction correcte en plusieurs étapes en 31 secondes, diagnostiquant la cause exacte au lieu de réessayer aveuglément. Sysdig a compté plus de 600 charges utiles distinctes et intentionnelles à travers l'opération.

Un détail reste une énigme. L'adresse Bitcoin dans la note de rançon est exactement l'adresse d'exemple qui apparaît dans toute la documentation des développeurs de Bitcoin elle-même, ce qui signifie qu'elle apparaît partout dans le texte sur lequel ces modèles sont formés. C'est aussi un portefeuille réel et actif avec un long historique de paiements.

Sysdig ne peut pas dire si le modèle a simplement collé une adresse familière de mémoire, ou si l'opérateur a délibérément utilisé un portefeuille réel qui correspond par hasard à l'exemple célèbre.

Partie d'un changement plus vaste

JADEPUFFER est la dernière étape d'une année rapide pour les attaques pilotées par l'IA. En août 2025, des chercheurs d'ESET ont signalé PromptLock, présenté comme le premier ransomware alimenté par l'IA ; il s'est avéré plus tard être un prototype de laboratoire de NYU appelé Ransomware 3.0, pas une véritable attaque.

À peu près au même moment, Anthropic a signalé une véritable campagne d'extorsion qui a utilisé son outil Claude Code pour frapper au moins 17 organisations, avec des demandes dépassant 500 000 $, bien qu'un humain ait encore dirigé celle-là.

En novembre 2025, Anthropic a divulgué ce qu'elle a appelé la première cyberattaque largement autonome, un effort d'espionnage lié à l'État chinois qui a fait écrire des exploits par Claude et voler des données avec peu d'aide humaine. Cette opération a également vu l'IA inventer des identifiants qui n'existaient pas, peut-être le même type d'hallucination derrière l'étrange adresse Bitcoin de JADEPUFFER.

Les éléments d'une attaque grave sont en cours d'automatisation, et les logiciels anciens non corrigés sont la première cible facile. Les agents rendent la pulvérisation de tout le catalogue arrière des bogues connus presque gratuite, donc les serveurs négligés deviennent plus exposés, pas moins.

Ce que les défenseurs devraient faire

Les correctifs sont familiers. Corrigez Langflow et n'exposez jamais ses points de terminaison d'exécution de code à Internet. N'exécutez pas d'outils d'IA avec des clés cloud et des identifiants de fournisseur dans leur environnement ; gardez les secrets dans un gestionnaire approprié, loin de tout ce à quoi le Web peut accéder.

Renforcez Nacos : changez la clé de signature par défaut, gardez-le hors d'Internet public, et ne le laissez jamais se connecter à sa base de données en tant que root. N'exposez jamais le compte administrateur d'une base de données à Internet, et verrouillez le trafic sortant afin qu'un serveur piraté ne puisse pas rentrer chez lui.

Parce que les attaquants peuvent désormais armer un nouvel avis en quelques heures, Sysdig soutient que surveiller les mauvais comportements au moment de l'exécution compte plus que se précipiter pour corriger.

Les indicateurs publiés par Sysdig pour cette opération incluent :

  • Point d'entrée : CVE-2025-3248 (exécution de code à distance non authentifiée Langflow)
  • Commande et contrôle : 45.131.66[.]106, avec une balise vers hxxp://45.131.66[.]106:4444/beacon toutes les 30 minutes
  • Serveur de staging revendiqué : 64.20.53[.]230
  • Adresse Bitcoin de rançon : 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy ; contact e78393397[@]proton[.]me ; table de rançon nommée README_RANSOM

Sysdig qualifie JADEPUFFER d'avertissement plutôt que de crise. Aucun des mouvements individuels n'était astucieux ou nouveau. Ce qui est nouveau, c'est qu'un modèle les a cousus ensemble en une attaque complète contre un serveur négligé, tout seul.

Attendez-vous à plus de la même chose à mesure que les outils d'agents mûrissent, et traitez tout serveur exposé, magasin de configuration ou identifiant administrateur de base de données comme quelque chose qu'une machine sonderait, pas seulement une personne.