JadePuffer: el primer ransomware ejecutado por una IA autónoma

Iniciado por Dragora, Julio 04, 2026, 12:57:51 PM

Tema anterior - Siguiente tema

0 Miembros y 7 Visitantes están viendo este tema.


La evolución de la inteligencia artificial generativa está transformando todos los sectores tecnológicos, incluida la ciberseguridad. Sin embargo, esta revolución también está siendo aprovechada por actores maliciosos para automatizar ataques cada vez más sofisticados. Investigadores de la empresa especializada en seguridad en la nube Sysdig han documentado lo que consideran el primer caso conocido de una operación de ransomware ejecutada íntegramente por un agente autónomo basado en un Gran Modelo de Lenguaje (LLM).

La campaña, denominada JadePuffer, representa un importante punto de inflexión en el panorama de las amenazas, ya que demuestra que un agente de inteligencia artificial puede realizar por sí solo todas las fases de una intrusión, desde el reconocimiento inicial hasta el cifrado de los datos, adaptándose a los errores encontrados durante el ataque de una forma muy similar a la de un operador humano.

Este hallazgo anticipa una nueva generación de ciberataques automatizados que podrían reducir significativamente las barreras técnicas para que los ciberdelincuentes lancen campañas de ransomware altamente efectivas.

JadePuffer automatiza todo el ciclo de un ataque de ransomware

De acuerdo con el informe de Sysdig, JadePuffer fue capaz de ejecutar de manera completamente autónoma cada una de las etapas habituales de una operación de ransomware, incluyendo:

  • Reconocimiento del objetivo.
  • Robo de credenciales.
  • Enumeración de sistemas.
  • Movimiento lateral.
  • Escalada de privilegios.
  • Persistencia.
  • Despliegue del ransomware.
  • Cifrado de información.

Lo más llamativo del caso es que el agente no simplemente ejecutó instrucciones predefinidas, sino que modificó dinámicamente su comportamiento cuando encontraba obstáculos, repitiendo acciones fallidas con parámetros ajustados hasta lograr el resultado esperado.

Los investigadores destacan un ejemplo especialmente revelador: tras un intento fallido de autenticación, el agente fue capaz de analizar el error, modificar automáticamente la estrategia y conseguir un acceso funcional en apenas 31 segundos, una capacidad de adaptación que hasta ahora se asociaba principalmente con operadores humanos.

El punto de entrada: la vulnerabilidad CVE-2025-3248 en Langflow

La intrusión comenzó explotando CVE-2025-3248, una vulnerabilidad crítica de ejecución remota de código (RCE) sin autenticación que afecta a Langflow, un popular framework de código abierto utilizado para desarrollar aplicaciones basadas en modelos de lenguaje.

Aunque el fabricante publicó un parche el 1 de abril de 2025, la vulnerabilidad comenzó a ser explotada activamente pocas semanas después. Posteriormente, la Cybersecurity and Infrastructure Security Agency (CISA) la añadió a su catálogo de vulnerabilidades explotadas activamente debido a múltiples ataques dirigidos contra instancias expuestas a Internet.

Muchas implementaciones de Langflow estaban desplegadas con configuraciones poco endurecidas, almacenando además credenciales cloud, claves API y otros secretos sensibles, convirtiéndose en un objetivo especialmente atractivo para los atacantes.

El agente de IA recopiló información y robó credenciales automáticamente

Una vez conseguida la ejecución remota de código, JadePuffer inició un completo proceso de reconocimiento del entorno comprometido.

Entre las acciones realizadas destacan:

  • Extracción de la base de datos PostgreSQL de Langflow.
  • Recolección de información detallada del sistema.
  • Enumeración de variables de entorno.
  • Búsqueda de archivos sensibles.
  • Robo de credenciales almacenadas.
  • Exploración de un almacenamiento de objetos MinIO.

Durante esta fase volvió a demostrar su capacidad adaptativa.

Sysdig explica que cuando una consulta a la API de MinIO devolvió información en formato XML en lugar del JSON esperado, el propio agente modificó automáticamente la lógica del análisis para continuar la enumeración sin intervención humana.

Este comportamiento evidencia que los modelos LLM pueden improvisar soluciones frente a situaciones inesperadas durante una intrusión real.

Persistencia y movimiento lateral dentro de la infraestructura

Después del reconocimiento inicial, JadePuffer estableció mecanismos de persistencia instalando un cron job en el servidor comprometido.

Este proceso permitía que el sistema infectado enviara señales ("beacons") hacia la infraestructura del atacante cada 30 minutos, garantizando el acceso continuo incluso después de reinicios.

Posteriormente, el agente utilizó las credenciales obtenidas para desplazarse lateralmente hacia un servidor de producción que ejecutaba Alibaba Nacos (Naming and Configuration Service).

Aunque Sysdig no pudo determinar exactamente el origen de las credenciales raíz utilizadas durante esta fase, el agente logró acceder exitosamente al servidor y preparar la siguiente etapa del ataque.

Explotación de y despliegue del ransomware

Dentro del servidor comprometido, JadePuffer lanzó varias cargas útiles destinadas a comprometer aún más el entorno.

Entre ellas figuraba la explotación de CVE-2021-29441, una conocida vulnerabilidad de evasión de autenticación que permite crear cuentas administrativas fraudulentas en Nacos.

El agente también buscó posibles métodos de escape del contenedor antes de ejecutar la carga útil definitiva de ransomware.

Según Sysdig, JadePuffer consiguió cifrar 1.342 elementos de configuración del servicio Nacos, utilizando la función AES_ENCRYPT() integrada en MySQL.

Tras completar el cifrado:

  • Eliminó las tablas originales de configuración.
  • Borró el historial almacenado.
  • Creó una nueva tabla denominada README_RANSOM.

En ella se incluían:

  • La nota de rescate.
  • Una dirección Bitcoin para el pago.
  • Una dirección de contacto de Proton Mail.

Un cifrado imperfecto revela el origen automatizado del ataque

Aunque la nota de rescate afirmaba utilizar AES-256, los investigadores consideran poco probable esa afirmación.

El análisis técnico apunta a que el agente utilizó realmente un esquema basado en AES-128 en modo ECB, considerablemente menos robusto desde el punto de vista criptográfico.

Además, la clave utilizada para el cifrado se generaba aleatoriamente, pero nunca era almacenada ni enviada a la infraestructura del atacante, un error importante que pone de manifiesto ciertas limitaciones actuales de los agentes autónomos basados en LLM.

Otro detalle curioso fue la dirección Bitcoin incluida en la nota de rescate.

Los investigadores comprobaron que correspondía a una dirección ampliamente utilizada como ejemplo en documentación pública, lo que sugiere que el modelo de lenguaje simplemente reprodujo información aprendida durante su entrenamiento en lugar de generar una dirección operativa válida.

Señales claras de que la inteligencia artificial controló toda la operación

Sysdig encontró múltiples evidencias que apuntan a que la totalidad del ataque fue coordinada por un agente de inteligencia artificial y no por un operador humano.

Entre ellas destacan:

  • Código generado automáticamente con abundantes comentarios en lenguaje natural.
  • Explicaciones internas del razonamiento seguido durante cada fase.
  • Adaptación continua frente a errores encontrados.
  • Repetición inteligente de tareas fallidas.
  • Ajuste dinámico de parámetros durante la explotación.

Este comportamiento dista mucho de los tradicionales scripts automatizados utilizados habitualmente por grupos de ransomware.

En su lugar, JadePuffer actuó como un operador experimentado capaz de interpretar resultados, modificar estrategias y continuar avanzando sin supervisión directa.

La llegada de los ATA: una nueva era para la ciberseguridad

Sysdig concluye que JadePuffer marca el nacimiento de una nueva categoría de amenazas conocida como Agentic Threat Agents (ATA) o agentes de amenaza autónomos.

Estos sistemas podrían democratizar la ejecución de ciberataques avanzados, reduciendo significativamente el conocimiento técnico necesario para desarrollar campañas de ransomware sofisticadas.

Sin embargo, los investigadores también destacan un aspecto positivo: los agentes basados en modelos de lenguaje aún dejan numerosos patrones identificables. Los comentarios generados automáticamente, la lógica utilizada por los LLM y determinados errores operativos crean nuevas oportunidades para que las soluciones modernas de detección identifiquen este tipo de amenazas antes de que causen un impacto significativo.

En cualquier caso, JadePuffer supone un anticipo del futuro inmediato de la ciberseguridad. La integración de inteligencia artificial autónoma en operaciones ofensivas ya no es un escenario teórico, sino una realidad documentada que obligará a organizaciones, fabricantes y equipos de respuesta a evolucionar sus estrategias defensivas frente a una nueva generación de ataques capaces de aprender, adaptarse y actuar prácticamente sin intervención humana.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login