Der Angreifer nutzte laut Sysdig CVE-2025-3248 aus, eine Schwachstelle ohne Authentifizierung in Langflow. Behoben wurde sie in Langflow 1.3.0; außerdem wurde sie im Mai 2025 in CISA’s Liste der Known Exploited Vulnerabilities aufgenommen. Dennoch blieben zahlreiche Server ungepatcht. Sysdig weist zudem darauf hin, dass dies nicht die einzige Langflow-Schwachstelle ist, die auf diese Weise angegriffen wird.

Nach dem Eindringen arbeitete der Agent laut Analyse schnell und hinterließ wenig Spuren. Er untersuchte zunächst das kompromittierte System und suchte anschließend nach Geheimnissen, darunter API-Schlüssel für KI-Dienste wie OpenAI, Anthropic, DeepSeek und Gemini, Cloud-Zugangsdaten für Alibaba, Tencent, AWS, Google und Azure, außerdem Schlüssel für Krypto-Wallets und Datenbankzugänge.

Zusätzlich griff der Agent auf einen MinIO-Server zu, der noch mit den werkseitigen Standardzugangsdaten minioadmin:minioadmin betrieben wurde. Für den dauerhaften Zugriff richtete er außerdem eine geplante Aufgabe ein, die alle 30 Minuten den Server des Angreifers kontaktierte.

Das eigentliche Ziel war anschließend ein separater, aus dem Internet erreichbarer Server mit einer MySQL-Datenbank und Alibaba Nacos, einem in Microservice-Umgebungen verbreiteten Konfigurations- und Service-Verzeichnis. Der Agent meldete sich dort als root an der Datenbank an. Woher diese root-Zugangsdaten stammten, konnte Sysdig nach eigenen Angaben nicht feststellen.

Von dort übernahm der Angreifer Nacos mithilfe einer Authentifizierungsumgehung aus dem Jahr 2021, CVE-2021-29441, sowie eines Standardschlüssels für Signaturen, den Nacos laut Sysdig seit 2020 unverändert mitliefert. Anschließend legte der Agent ein eigenes Administratorkonto an.

Danach verschlüsselte er alle 1.342 Nacos-Einstellungen, löschte die ursprünglichen Tabellen und hinterließ eine Lösegeldforderung mit Bitcoin-Adresse und Proton-Mail-Kontakt. Den Verschlüsselungsschlüssel erzeugte der Agent zufällig, zeigte ihn einmal auf dem Bildschirm an und speicherte oder übermittelte ihn nicht. Laut Sysdig gibt es damit keinen Schlüssel, der übergeben werden könnte; die betroffenen Daten lassen sich auch bei Zahlung nicht wiederherstellen. Die Forderung nennt AES-256, Sysdig zufolge verwendet das eingesetzte Werkzeug standardmäßig jedoch das schwächere AES-128.

Im nächsten Schritt löschte der Agent ganze Datenbanken. Im eigenen Code hinterließ er einen Kommentar, wonach die Daten bereits an einen anderen Ort kopiert worden seien. Sysdig betont jedoch, dass dies nur eine Aussage des Agenten sei; Belege für einen tatsächlichen Abfluss der Daten fanden die Forscher nicht.

Ein zentrales Indiz für den KI-Ursprung war laut Sysdig der Code selbst. Die Angriffslasten enthielten zahlreiche Klartext-Hinweise, die erklärten, warum einzelne Schritte ausgeführt wurden. Solche laufenden Kommentare schreibe ein menschlicher Angreifer typischerweise nicht, ein Modell aber standardmäßig. Zudem korrigierte der Agent eigene Fehler in Maschinengeschwindigkeit: In einem Fall brauchte er nach einer fehlgeschlagenen Anmeldung 31 Sekunden, um den genauen Fehler zu diagnostizieren und eine mehrstufige Korrektur umzusetzen. Insgesamt zählte Sysdig mehr als 600 getrennte, zielgerichtete Nutzlasten im Verlauf der Operation.

Unklar bleibt auch die Bitcoin-Adresse aus der Lösegeldforderung. Sie entspricht exakt der Beispieladresse, die in der Entwicklerdokumentation von Bitcoin verwendet wird und deshalb in Trainingsdaten solcher Modelle häufig vorkommt. Gleichzeitig ist sie eine reale, aktive Wallet mit langer Zahlungshistorie. Sysdig kann nicht sagen, ob das Modell schlicht eine vertraut wirkende Adresse aus dem Gedächtnis einfügte oder ob der Operator bewusst eine echte Wallet nutzte, die zufällig mit dem bekannten Beispiel übereinstimmt.

Sysdig ordnet JADEPUFFER als Warnsignal ein, nicht als Krise. Neu sei nicht die einzelne Technik, sondern dass ein Modell diese Bausteine selbstständig zu einem vollständigen Angriff auf einen vernachlässigten Server zusammensetzte.