Nach dem initialen Zugriff auf die Langflow-Instanz durch die Ausnutzung von CVE-2025-3248 begann JadePuffer laut Sysdig mit der Aufklärung des kompromittierten Systems. Das LLM durchsuchte den Host nach Geheimnissen, exportierte die Postgres-Datenbank von Langflow, um dort hinterlegte Zugangsdaten zu ernten, scannte den erreichbaren internen Adressraum und identifizierte Dienste. Zudem suchte der Angreifer nach MinIO-Adressen, um weitere Anmeldedaten abzugreifen, und richtete einen Cron-Job ein, um den dauerhaften Zugriff auf den Langflow-Server zu sichern.

Sysdig beobachtete in dieser Phase, dass das Modell seine Schritte fortlaufend anpasste. Es extrahierte Anmeldedaten aus unterschiedlichen Dateitypen und meldete sich an entdeckten Endpunkten an. Der Sicherheitsanbieter wertet das als Hinweis darauf, dass das LLM nicht nur starre Muster abarbeitete, sondern Aufgaben situationsbezogen zu Ende brachte.

In einer zweiten Phase verlagerte JadePuffer den Angriff auf einen Produktionsserver, auf dem eine MySQL-Datenbank und die Konfigurationsplattform Alibaba Naming and Configuration Service, kurz Nacos, liefen. Sysdig beschreibt Nacos als in Alibaba-Microservice-Architekturen weit verbreitet. Zugleich verweist das Unternehmen auf mehrere Sicherheitsumgehungen rund um den Dienst sowie auf einen bekannten standardmäßigen JWT-Signaturschlüssel, mit dem sich Token leicht fälschen lassen.

Der Zugriff auf diesen Server erfolgte laut Sysdig mit einer Nutzlast, die Root-Zugangsdaten für den MySQL-Port enthielt. Danach missbrauchte JadePuffer das LLM, um den Nacos-Dienst über mehrere Wege anzugreifen. Dazu gehörten laut Sysdig die Ausnutzung der Familie von Authentifizierungsumgehungen um CVE-2021-29441, das Fälschen eines gültigen JWT mit dem bekannten Standardschlüssel von Nacos sowie das direkte Einschleusen eines Administrator-Backdoors in die Nacos-Datenbank, nachdem Root-Zugriff auf die Datenbank bestand.

Während dieses Angriffs passte das LLM die Nutzlast so an, dass die Anmeldeprüfung bestand. Außerdem prüfte es auf User Defined Functions, die zur Ausführung von Betriebssystembefehlen führen können, und setzte vor der Ransomware-Bereitstellung eine Abschlussmarkierung. Anschließend verschlüsselte der Angriff 1.342 Konfigurationseinträge des Nacos-Dienstes und legte eine Erpressungstabelle mit Lösegeldforderung, Zahlungsadresse und Kontakt-E-Mail an.

Besonders relevant ist dabei ein Detail, das Sysdig ausdrücklich hervorhebt: Der Schlüssel für die Verschlüsselung wurde zufällig erzeugt, aber weder gespeichert noch übertragen. Eine Wiederherstellung der Daten war dadurch praktisch ausgeschlossen. In den erfassten Nutzlasten sah Sysdig zudem, wie das LLM von Löschungen auf Zeilenebene zum Entfernen ganzer Datenbankschemata überging und seine eigene Zielauswahl in natürlichsprachlichen Kommentaren erklärte.

Diese Kommentare in den analysierten Nutzlasten wertet Sysdig als typisches Merkmal von durch LLM erzeugtem Code. Hinzu kam, dass das Modell seine Vorgehensweise bei Fehlschlägen korrigierte und präzise Diagnosen lieferte. Laut Sysdig verarbeitete das LLM während des Angriffs Freitext aus der Zielumgebung und leitete daraus Aktionen ab, die nur sinnvoll seien, wenn dieser Text tatsächlich gelesen und verstanden wurde. Dieses Verhalten habe sich über Sitzungen hinweg im Abstand von Wochen wiederholt.

Für Sysdig zeigt der Vorfall, dass LLM-Agenten die Hürde für schädliche Operationen deutlich senken. Statt eines besonders fähigen menschlichen Angreifers reiche nun ein leistungsfähiges Modell aus, um bekannte Techniken in einem erfolgreichen Angriff gegen vernachlässigte Infrastruktur zu kombinieren.