Sysdig beschreibt JadePuffer als „agentischen Bedrohungsakteur“. Im Zentrum des beobachteten Vorfalls stand keine neue Exploit-Technik, sondern die durchgehende Automatisierung eines kompletten Erpressungsangriffs. Nach Angaben des Unternehmens lief die Attacke über zwei getrennte Ziele: zuerst über eine aus dem Internet erreichbare Langflow-Instanz, danach gegen den eigentlichen Produktionsserver.
Der erste Schritt war die Ausnutzung von CVE-2025-3248. Dabei handelt es sich um eine nicht authentifizierte Schwachstelle zur Remotecodeausführung in Langflow. Über diesen Zugang lieferte JadePuffer sämtliche Nutzlasten als Base64-kodierten Python-Code aus. Das bei diesem Erstzugriff kompromittierte System wurde später auch für den Angriff auf das endgültige Ziel verwendet.
Laut Sysdig kompromittierte JadePuffer anschließend einen separaten, direkt erreichbaren Produktionsserver, auf dem eine MySQL-Datenbank sowie der Konfigurationsdienst Alibaba Nacos liefen. Dort zählte die Kampagne die Inhalte der Datenbank auf, exfiltrierte ausgewählte Daten, löschte die Datenbank und hinterließ eine Erpressernotiz mit einer Zahlungsforderung gegen die gestohlenen Informationen.
Michael Clark, Director of Threat Research bei Sysdig, hebt hervor, dass die von JadePuffer eingesetzten Nutzlasten sich gewissermaßen selbst erklärten. In seinem Bericht schreibt er, sie hätten natürlichsprachige Begründungen, eine Priorisierung der Ziele und detaillierte Anmerkungen enthalten, wie sie menschliche Operatoren oft nicht hinterließen, die aber von LLM-generiertem Code reflexhaft produziert würden.
Ebenfalls auffällig war laut Sysdig die Anpassungsfähigkeit der Operation. Das Unternehmen beobachtete, dass fehlgeschlagene Schritte mit verfeinerten Parametern erneut versucht wurden. So sei der Angriff binnen 31 Sekunden von einem fehlgeschlagenen Anmeldeversuch zu einer funktionierenden Lösung übergegangen.
Johan Edholm, Mitgründer von Detectify, ordnet die einzelnen Techniken als wenig überraschend ein. Das Ausnutzen eines exponierten Dienstes, das Sammeln von Zugangsdaten, laterale Bewegungen, der Missbrauch von Standardkonfigurationen und das Löschen von Datenbanken gehörten allesamt zu einem bekannten Repertoire, sagte er gegenüber Dark Reading. Neu sei weniger die Methode als deren Verkettung: „eher Evolution als Erfindung“.
Gerade darin sieht Sysdig den Wendepunkt. Klassische Ransomware verlässt sich in entscheidenden Phasen einer Kompromittierung auf vorab geschriebene Skripte oder menschliche Eingriffe. JadePuffer dagegen habe gezeigt, dass ein LLM Aufklärung, Diebstahl von Zugangsdaten, laterale Bewegung, Persistenz und Zerstörung ohne tiefes Spezialwissen eines Operators in jedem einzelnen Schritt verknüpfen könne, schreibt Clark.
Schon seit der Einführung von LLMs hatten Sicherheitsforscher prognostiziert, dass Ransomware und andere Cyberangriffe vollständig KI-generiert werden würden. Im vergangenen August galt PromptLock zeitweise als möglicher erster KI-gesteuerter Fall außerhalb eines Angriffsszenarios, stellte sich später aber als Proof of Concept von Forschern der Tandon School of Engineering der New York University heraus. JadePuffer erscheint laut dem vorliegenden Bericht nun als realer Angriff.
Als Reaktion empfiehlt Sysdig, Langflow auf eine Version zu aktualisieren, die CVE-2025-3248 behebt, und sicherzustellen, dass Endpunkte für Codeausführung oder -validierung nicht aus dem Internet erreichbar sind. Zudem rät das Unternehmen davon ab, Anbieter-API-Schlüssel oder Cloud-Zugangsdaten mit der Umgebung des jeweiligen KI-Orchestrierungsservers zu verknüpfen, und empfiehlt eine Härtung von Nacos.
