A empresa de segurança Sysdig afirma ter encontrado o que acredita ser o primeiro ataque de ransomware executado do início ao fim por um agente de IA.
A equipe de Threat Research da companhia atribui a operação ao invasor apelidado de JADEPUFFER e diz que um modelo de linguagem assumiu toda a ação: invadiu o ambiente, roubou credenciais, avançou pela rede e, por fim, criptografou e apagou o banco de dados de produção de uma empresa.
Até aqui, ataques de ransomware sempre dependeram de uma pessoa qualificada em algum ponto do processo, seja operando o teclado, seja escrevendo o script seguido pelo malware.
Se um modelo conseguir encadear essas etapas sozinho, a barreira técnica para lançar um ataque cai para o custo de alugar um agente de IA.
A porta de entrada foi uma falha antiga, já corrigida.
Segundo a Sysdig, o JADEPUFFER explorou a
CVE-2025-3248
, uma falha de autenticação ausente no Langflow, ferramenta open source para criação de aplicativos de IA e fluxos de trabalho de agentes.
A falha permitia que qualquer pessoa com acesso ao servidor executasse seu próprio código Python sem precisar de login.
Servidores com Langflow são alvos atraentes porque, muitas vezes, ficam expostos na internet e armazenam chaves de API e credenciais de cloud dos serviços aos quais se conectam.
A falha foi corrigida na versão 1.3.0 do Langflow e entrou para a lista Known Exploited Vulnerabilities da CISA em maio de 2025, mas muitos servidores nunca foram atualizados.
E essa nem é a única falha do Langflow explorada dessa forma.
Depois de entrar, o agente agiu rápido e tentou apagar seus rastros.
Ele mapeou a máquina e passou a procurar segredos, incluindo chaves de API de serviços de IA, como OpenAI, Anthropic, DeepSeek e Gemini, credenciais de cloud, inclusive de provedores chineses como Alibaba e Tencent, além de AWS, Google e Azure, chaves de carteiras de criptomoedas e logins de bancos de dados.
Também invadiu um servidor de armazenamento MinIO usando o login padrão de fábrica, minioadmin:minioadmin, que nunca havia sido alterado.
Em seguida, criou uma forma de retorno, adicionando uma tarefa agendada que enviava sinais ao servidor do invasor a cada 30 minutos.
Na sequência, mudou de alvo e partiu para um servidor separado, exposto na internet, que rodava um banco de dados MySQL e o Nacos, da Alibaba, um diretório de serviços e configurações comum em ambientes de microsserviços.
O agente acessou o banco como root.
A Sysdig afirma que nunca viu de onde vieram essas credenciais de root, portanto a origem delas segue desconhecida.
A partir daí, o invasor assumiu o Nacos usando um bypass de autenticação de 2021, identificado como CVE-2021-29441, e uma chave de assinatura padrão que o Nacos mantém inalterada desde 2020, plantando então sua própria conta de administrador.
A nota de resgate sem chave
O agente criptografou todas as 1.342 configurações do Nacos, apagou as tabelas originais e deixou uma nota de resgate exigindo pagamento em Bitcoin com contato via Proton Mail.
Ele gerou uma chave de criptografia aleatória, exibiu-a na tela uma única vez e nunca a salvou nem a enviou a lugar algum.
Na prática, não há chave para entregar.
A vítima não consegue recuperar os dados nem mesmo se pagar.
A nota afirma que usou AES-256, mas a Sysdig observa que a ferramenta utilizada, por padrão, adota AES-128, embora o resultado final seja o mesmo.
O agente foi além e apagou bancos de dados inteiros, deixando ainda um comentário no próprio código afirmando que já havia copiado os dados para outro lugar.
A Sysdig afirma que isso faz parte da “fala” do agente, e não de algo que a equipe tenha conseguido confirmar.
Não foi encontrada evidência de que os dados tenham sido realmente copiados.
Como os especialistas identificam a atuação de IA
O indício mais claro estava no próprio código.
Os payloads do ataque vinham repletos de notas em inglês simples explicando por que cada etapa estava sendo executada, uma espécie de comentário em tempo real que um hacker humano normalmente não escreve, mas que um modelo tende a produzir por padrão.
O agente também corrigia os próprios erros em velocidade de máquina.
Em um caso, passou de uma tentativa de login malsucedida para uma correção correta e em várias etapas em apenas 31 segundos, diagnosticando a causa exata em vez de simplesmente insistir em novas tentativas.
A Sysdig contou mais de 600 payloads distintos e intencionais ao longo da operação.
Há ainda um detalhe curioso.
O endereço de Bitcoin na nota de resgate é exatamente o endereço de exemplo que aparece repetidamente na documentação oficial de desenvolvedores do Bitcoin, o que faz com que ele apareça em grande parte do texto usado no treinamento desses modelos.
Ao mesmo tempo, trata-se de uma carteira real e ativa, com histórico longo de pagamentos.
A Sysdig não consegue dizer se o modelo simplesmente copiou da memória um endereço familiar ou se o operador escolheu deliberadamente uma carteira real que, por coincidência, coincide com o exemplo famoso.
Parte de uma mudança maior
O JADEPUFFER é o passo mais recente em um ano de rápida evolução dos ataques guiados por IA.
Em agosto de 2025, pesquisadores da ESET apontaram o PromptLock, divulgado como o primeiro ransomware impulsionado por IA.
Mais tarde, descobriu-se que se tratava de um protótipo de laboratório da NYU chamado Ransomware 3.0, e não de um ataque real.
Na mesma época, a Anthropic relatou uma campanha real de extorsão que usou sua ferramenta Claude Code para atingir pelo menos 17 organizações, com pedidos que ultrapassavam US$ 500.000, embora ainda houvesse intervenção humana nessa operação.
Em novembro de 2025, a Anthropic revelou o que chamou de primeiro ataque cibernético amplamente autônomo, uma operação de espionagem ligada ao Estado chinês que fez o Claude escrever exploits e roubar dados com pouca ajuda humana.
Nessa campanha, a IA também inventou credenciais que não existiam, possivelmente o mesmo tipo de alucinação por trás do estranho endereço de Bitcoin do JADEPUFFER.
Os componentes de um ataque sério estão cada vez mais automatizados, e software antigo sem patch continua sendo o alvo mais fácil.
Agentes de IA tornam quase gratuito varrer todo o histórico de falhas conhecidas, o que deixa servidores negligenciados ainda mais expostos.
O que os defensores devem fazer
As medidas continuam conhecidas.
Corrigir o Langflow e nunca expor à internet os endpoints que executam código é o primeiro passo.
Ferramentas de IA não devem operar com chaves de cloud e credenciais de provedores carregadas em seu ambiente.
O ideal é manter segredos em um gerenciador apropriado, longe de qualquer componente acessível pela web.
Também é preciso endurecer o Nacos, alterar a chave de assinatura padrão, mantê-lo fora da internet pública e nunca permitir que ele se conecte ao banco de dados como root.
Bancos de dados não devem ter contas administrativas expostas à internet, e o tráfego de saída precisa ser restringido para impedir que um servidor comprometido “telefone para casa”.
Como atacantes agora conseguem transformar um alerta recém-publicado em arma em questão de horas, a Sysdig argumenta que monitorar comportamento em tempo de execução é mais importante do que correr para aplicar patch.
Os indicadores de comprometimento publicados pela Sysdig para essa operação incluem:
Ponto de entrada:
CVE-2025-3248
, execução remota de código sem autenticação no Langflow
Comando e controle: 45.131.66[.]106, com beacon para hxxp://45.131.66[.]106:4444/beacon a cada 30 minutos
Servidor de preparação alegado: 64.20.53[.]230
Endereço Bitcoin do resgate: 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy; contato e78393397[@]proton[.]me; tabela de resgate nomeada README_RANSOM
A Sysdig considera o JADEPUFFER um sinal de alerta, e não uma crise.
Nenhuma das etapas isoladamente foi especialmente inovadora.
O novo é que um modelo costurou tudo em um ataque completo contra um servidor negligenciado, por conta própria.
A tendência é que isso se repita à medida que as ferramentas de agentes amadurecem.
Por isso, qualquer servidor exposto, repositório de configurações ou login administrativo de banco de dados deve ser tratado como algo que uma máquina vai sondar, e não apenas uma pessoa.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...