JADEPUFFER: O Primeiro Ataque de Ransomware Totalmente Autônomo Impulsionado por IA Chega para Mudar o Jogo

JADEPUFFER: O Primeiro Ataque de Ransomware Totalmente Autônomo Impulsionado por IA Chega para Mudar o Jogo

A ameaça JADEPUFFER representa um marco na cibersegurança, sendo o primeiro ataque de ransomware documentado onde um Agente de IA, impulsionado por Large Language Models (LLMs), executa todo o ciclo de ataque sem intervenção humana. Este desenvolvimento reduz drasticamente o limiar técnico para ataques de ransomware, exigindo apenas a capacidade de orquestrar modelos de IA.

MundiX News·07 de julho de 2026·10 min de leitura·👁 1 views

Em maio de 2025, a CISA adicionou uma vulnerabilidade no Langflow ao seu catálogo de vulnerabilidades exploradas conhecidas. Mais de um ano depois, essa falha, já corrigida, tornou-se a porta de entrada para um incidente de ataque sem precedentes. A equipe de pesquisa de ameaças da Sysdig revelou um perfil de ator de ameaça codinome JADEPUFFER – que não é um indivíduo nem um grupo de hackers, mas sim um Agente de IA impulsionado por Large Language Models (LLMs). Desde a intrusão até a extorsão, todo o ciclo de ataque ocorreu sem a manipulação de um operador humano por trás do teclado. Este é o primeiro caso documentado de "ransomware agentic" (Agentic Ransomware).

O Perfil do Atacante: Sem Humanos por Trás do Teclado

Operações tradicionais de ransomware sempre dependeram de um pré-requisito crucial: a presença humana. Alguém realiza a coleta de informações, alguém decide o próximo passo, alguém escreve scripts, lê mensagens de erro, ajusta parâmetros e lida com tentativas. Mesmo com o avanço das ferramentas de automação, a "cadeia de julgamento humano" sempre foi um elo indispensável. JADEPUFFER quebra essa premissa. A Sysdig definiu claramente em seu relatório: "Este é o que avaliamos como o primeiro caso de ransomware agentic: um ciclo completo de operações de ransomware, de ponta a ponta, impulsionado por um Large Language Model." JADEPUFFER é classificado como um Ator de Ameaça Agentic (Agentic Threat Actor, ATA) – cujas capacidades de ataque são entregues por um Agente de IA, em vez de um kit de ferramentas impulsionado por humanos. Ele não exige que o atacante domine os detalhes técnicos de cada etapa; o próprio modelo assume toda a responsabilidade pela compreensão, julgamento, correção de erros e tomada de decisão. Isso significa que o limiar para ataques de ransomware foi reduzido de "requer uma pessoa tecnicamente qualificada" para "requer alguém capaz de orquestrar um modelo".

Análise do Ciclo de Ataque: Do Langflow ao MySQL em uma Cadeia Completa

O ponto de partida do ataque foi a CVE-2025-3248, uma vulnerabilidade de falta de autenticação no framework Langflow. Langflow é um framework de código aberto para construir aplicações de IA e fluxos de trabalho de agentes, possuindo capacidade de execução de código inerente. Essa vulnerabilidade permite que qualquer pessoa com acesso ao servidor execute código Python arbitrário sem login. A vulnerabilidade foi corrigida em maio de 2025 e listada no catálogo de vulnerabilidades exploradas conhecidas da CISA, mas muitos servidores nunca foram atualizados. Instâncias do Langflow se tornam alvos de alto valor não apenas por estarem expostas na internet, mas também por geralmente conterem uma vasta quantidade de chaves de API e credenciais de serviços em nuvem – as chaves de acesso para conectar diversos serviços.

Após obter permissão de execução, JADEPUFFER não se aprofundou imediatamente, mas realizou uma tarefa: varrer o ambiente em busca de todas as chaves encontradas. Seu escopo de coleta abrangeu várias categorias, avançando em paralelo: chaves de API de plataformas de IA (OpenAI, Anthropic, DeepSeek, Gemini), credenciais de provedores de nuvem (Aliyun, Tencent Cloud, Huawei Cloud, AWS, GCP, Azure), carteiras de criptomoedas (chaves privadas e frases mnemônicas), e credenciais e arquivos de configuração de banco de dados. Simultaneamente, ele também saqueou o banco de dados PostgreSQL de back-end do próprio Langflow, extraindo credenciais armazenadas, chaves de API e registros de usuários. Os dados foram inicialmente armazenados em arquivos locais, e os arquivos temporários foram excluídos após a revisão – uma ação de limpeza típica de um atacante experiente. A coleta de credenciais foi apenas o aquecimento. Em seguida, JADEPUFFER começou a sondar serviços internos acessíveis a partir do host Langflow: bancos de dados, armazenamento de objetos, gerenciadores de chaves, endpoints de descoberta de serviços, testando todos com credenciais padrão. Ele encontrou um servidor de armazenamento de objetos MinIO. MinIO é um serviço de armazenamento auto-hospedado compatível com o protocolo S3, amplamente utilizado para armazenar dados de aplicativos, backups, modelos de aprendizado de máquina e estados de infraestrutura. As credenciais padrão desta instância MinIO, minioadmin:minioadmin, nunca foram alteradas. O ataque de JADEPUFFER ao MinIO demonstrou características típicas de "adaptação iterativa": verificação de integridade anônima, consulta de informações da API de gerenciamento, obtenção de lista de buckets autenticados e recuperação direcionada de arquivos com nomes que sugerem credenciais (como credentials.json, .env). Um detalhe notável foi que, ao receber uma resposta XML em vez de JSON ao solicitar ?format=json pela primeira vez, o LLM ajustou imediatamente o parser XML para se adequar ao formato de resposta S3 e reenviou a solicitação. Isso não é um scanner executando um script fixo; é um agente lendo a saída, compreendendo o contexto e ajustando a próxima ação. Antes de deixar o host Langflow, JADEPUFFER instalou uma tarefa agendada no crontab para enviar um sinal de pulsação a cada 30 minutos para a porta 4444 da infraestrutura do atacante em 45.131.66[.]106. O Langflow nunca foi o destino final.

Os artefatos obtidos do host comprometido indicam que o verdadeiro alvo de JADEPUFFER era um servidor de produção independente exposto à internet, executando um banco de dados MySQL e o serviço de configuração Nacos da Alibaba. Nacos é uma plataforma de descoberta de serviços e configuração dinâmica comumente usada em arquiteturas de microsserviços. Seu sistema de autenticação tem um histórico de contornar vulnerabilidades, e sua chave de assinatura JWT padrão tem sido pública desde 2020, mas permanece inalterada em muitas implantações. JADEPUFFER usou a conta root para se conectar ao servidor MySQL – a origem dessas credenciais não pôde ser confirmada pela Sysdig, pois não foram observadas sendo coletadas no ambiente comprometido. Em seguida, ele atacou o Nacos de múltiplos vetores simultaneamente: explorando a vulnerabilidade de bypass de autenticação CVE-2021-29441 de 2021, usando a chave de assinatura padrão conhecida publicamente para forjar um JWT válido, e injetando diretamente uma conta de administrador backdoor no banco de dados de back-end do Nacos. A injeção da conta backdoor é onde a evidência de operação autônoma é mais precisa. Primeira tentativa: gerou um hash bcrypt (chamando um subprocesso), inseriu a conta e atribuiu permissões de administrador. A autenticação de login falhou. 31 segundos depois, surgiu um payload corretivo. A lógica deste payload era um fluxo completo de solução de problemas: excluir a conta com erro, diagnosticar a causa raiz – um problema de PATH no subprocesso que impedia a geração de um hash bcrypt válido, mudar de estratégia – importar diretamente a biblioteca bcrypt, verificar se a biblioteca pode ser importada – imprimir o número da versão para confirmação, reinserir a conta usando o hash gerado corretamente, e login bem-sucedido. A Sysdig fez um julgamento crucial em seu relatório: "A transição da falha de login para a correção multilinha correta levou apenas 31 segundos. Este payload consistia em 15 linhas de código coordenado: excluir, diagnosticar, reconstruir, reinserir. Um operador humano levaria muito mais tempo para ler a mensagem de erro, localizar a causa raiz, redigir um script de correção e executá-lo." O mesmo padrão adaptativo permeou todo o processo de ataque: solicitação MinIO recebeu XML em vez de JSON → o próximo payload analisou imediatamente XML; falsificação de JWT recebeu "custom secret in use" → o caminho JWT foi abandonado diretamente; DROP DATABASE falhou silenciosamente devido a restrições de chave estrangeira → o próximo payload adicionou SET GLOBAL FOREIGN_KEY_CHECKS=0 antes do DROP, e o redefiniu após a execução. Isso não é uma nova tentativa; é uma correção direcionada após entender o padrão de falha.

Execução de Ransomware: Criptografia e Destruição de 1342 Configurações

Após assumir o controle do Nacos, JADEPUFFER executou a ação central de ransomware: usou a função AES_ENCRYPT() do MySQL para criptografar todas as 1342 entradas de configuração do Nacos, em seguida, excluiu as tabelas originais config_info e de histórico, e criou uma tabela de resgate chamada README_RANSOM, contendo a declaração de resgate, um endereço de pagamento em Bitcoin e informações de contato do Proton Mail. Dois minutos depois, um payload subsequente atualizou a nota de resgate, adicionando a contagem precisa de itens criptografados. A chave de criptografia foi gerada pela concatenação de dois valores UUID4 – essencialmente aleatória, impressa apenas uma vez no stdout, e nunca armazenada ou transmitida para qualquer lugar. Mesmo que a vítima pague o resgate, as configurações criptografadas não poderão ser recuperadas. Após a fase de ransomware, o agente avançou para ações destrutivas: começou a excluir todo o schema do banco de dados. No código do payload, ele até escreveu comentários para a seleção de seus alvos: "High-ROI databases to drop (data already backed up to 64.20.53[.]230)". A Sysdig não pôde verificar independentemente se os dados foram de fato transferidos para este servidor de staging. Esta declaração é uma afirmação do próprio agente, não um fato que a equipe pôde confirmar por evidências externas.

Quatro Linhas de Evidência Independentes: Por Que Isso é Atribuído a um LLM

A Sysdig utilizou quatro linhas de evidência independentes para apoiar a avaliação de que "esta operação foi impulsionada por um LLM":

  1. Autodescrição nos Payloads de Ataque: Em comandos python3 -c de uso único, JADEPUFFER escreveu comentários e descrições de alvos para suas operações. Operadores humanos não escrevem tais comentários para scripts descartáveis, mas a geração de código LLM faz isso por padrão.
  2. Diagnóstico e Correção de Falhas em Velocidade de Máquina: O ciclo completo de "erro → localização da causa raiz → mudança de estratégia → verificação → nova tentativa" em 31 segundos excede o ritmo humano.
  3. Compreensão de Contexto de Texto Livre: A Sysdig inseriu texto contextual no ambiente comprometido, e JADEPUFFER demonstrou capacidade de compreender esses textos, em vez de apenas correspondência de padrões.
  4. O Endereço Bitcoin: O endereço Bitcoin na nota de resgate é 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy – este é o endereço de exemplo P2SH usado extensivamente na documentação oficial do desenvolvedor Bitcoin e nos repositórios de código do Bitcoin Core. Ele aparece com alta densidade nos dados de treinamento do LLM como "exemplo ilustrativo". Este endereço também é uma carteira real e ativa, com 737 transações confirmadas e um recebimento histórico de aproximadamente 46 BTC. Cada depósito é imediatamente transferido, e o saldo atual é zero. A Sysdig não pôde determinar a partir dos dados existentes: ou o LLM alucinou este endereço a partir do material de treinamento, e a carteira pertence a um terceiro que limpa depósitos não solicitados; ou o operador configurou intencionalmente uma carteira real controlada que coincidentemente corresponde ao famoso exemplo da documentação. Ambas as interpretações têm implicações preocupantes.

Nenhuma Tecnologia é Nova; a Combinação é Inovadora

É importante enfatizar: cada tecnologia utilizada por JADEPUFFER não é nova. A CVE-2025-3248 foi corrigida mais de um ano antes do ataque; a vulnerabilidade de autenticação Nacos remonta a 2021; a chave de assinatura JWT padrão tem sido pública desde 2020; o problema de credenciais padrão do MinIO é uma negligência comum na implantação de infraestrutura. O que JADEPUFFER realmente demonstra não é um avanço em uma única tecnologia, mas a capacidade de um Agente de IA de encadear essas vulnerabilidades conhecidas para executar um ciclo completo de operações de ransomware contra infraestrutura exposta na internet e negligenciada, sem que o operador precise dominar nenhum elo individual. O limiar técnico para ataques de ransomware está diminuindo de "requer um atacante com proficiência em múltiplos domínios" para "qualquer pessoa capaz de orquestrar modelos".

Prioridade de Defesa: Problemas Antigos, Nova Urgência

As recomendações de defesa fornecidas pela Sysdig não são novas – mas nunca foram tão urgentes. Corrigir o Langflow e mover seu endpoint de execução de código para fora da superfície de exposição da internet; não armazenar credenciais de nuvem ou chaves de API em ambientes de servidor de IA expostos à internet; alterar a chave de assinatura padrão do Nacos e movê-lo para fora da rede pública; não expor contas de administrador de banco de dados à internet; implementar controle de tráfego de saída para impedir que hosts comprometidos enviem pulsações externas. E um julgamento mais profundo: "A argumentação baseada na detecção de comportamento em tempo de execução é mais difícil de refutar do que a estratégia de 'correr atrás de patches'". Quando o atacante muda de "uma pessoa usando ferramentas" para "um agente impulsionando um modelo", a lógica da corrida de patches falha – porque o agente não precisa esperar por novas vulnerabilidades, ele só precisa encontrar as antigas que foram corrigidas, mas nunca atualizadas.

Um Ponto de Virada na Era

O significado de JADEPUFFER não está no que ele fez, mas em como ele o fez. A Sysdig escreveu no final de seu relatório: "Ransomware não é mais um ofício para indivíduos altamente qualificados: um Agente LLM pode encadear reconhecimento, roubo de credenciais, movimento lateral, persistência e destruição, sem que o operador precise dominar nenhum elo. A arte do ataque, que antes significava 'humanos capazes', agora significa 'modelos capazes'." Esta frase merece que cada profissional de segurança pare para pensar. Quando o gargalo do ataque muda de "pessoas" para "modelos", o gargalo da defesa também deve migrar. Não estamos mais lidando com um oponente que comete erros humanos, mas com um oponente que pode se autocorrigir em 31 segundos, ler saídas e ajustar estratégias em tempo real, e escrever comentários para scripts descartáveis. Este não é o futuro da IA capacitando atacantes – este é o presente que já aconteceu.

🛡️⚡

Pare de pesquisar. Comece a hackear.

O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.

Testar grátis por 7 dias →

Sem cartão para começar · Planos a partir de R$49/mês

📤 Compartilhar & Baixar

🧰 Ferramentas recomendadas

Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.

Aprendendo Kali Linux: Teste de segurança, pentest e hacking ético

Aprendendo Kali Linux: Teste de segurança, pentest e hacking ético

Com centenas de ferramentas pré-instaladas, a distribuição Kali Linux facilita o trabalho de os profissionais de segurança começarem a fazer testes de segurança rapidamente. No entanto, com mais de 600 ferramentas em seu arsenal, o Kali Linux também pode ser desafiador. A nova edição deste prático livro abrange as atualizações nas ferramentas e inclui uma melhor abordagem da análise forense e da engenharia reversa. Ric Messier, autor, não fica apenas no teste de segurança, mas também faz uma abordagem sobre a execução de análise forense, incluindo a análise em disco e na memória, assim como alguma análise básica de malware. • Explore as diversas ferramentas disponíveis no Kali Linux • Entenda o valor do teste de segurança e examine os tipos de teste disponíveis • Aprenda os aspectos básicos do pentest em todo o ciclo de vida do ataque • Instale o Kali Linux em vários sistemas, tanto físicos quanto virtuais • Descubra como usar diferentes ferramentas destinadas à segurança • Estruture um teste de segurança baseado nas ferramentas do Kali Linux • Estenda as ferramentas do Kali para criar técnicas de ataque avançadas • Use o Kali Linux para ajudar a criar relatórios quando o teste terminar “A abordagem concisa, clara e baseada na experiência adotada por Ric Messier para a introdução do Kali Linux e dos testes de cibersegurança é incomparável. Este livro é uma leitura excelente e acessível para iniciantes e um recurso valioso para qualquer pessoa.” —Alexander Arlt, Consultor sênior de segurança, Google

Ver na Amazon
Gshield 2 em 1 Hub Extensor Conector USB-C + USB-A e Adaptador de Rede Ethernet LAN RJ45 com 3 Entradas USB 3.0 até 5 Gbps em Liga de Alumínio para Computador e Notebook, Cinza

Gshield 2 em 1 Hub Extensor Conector USB-C + USB-A e Adaptador de Rede Ethernet LAN RJ45 com 3 Entradas USB 3.0 até 5 Gbps em Liga de Alumínio para Computador e Notebook, Cinza

Compatível com portas USB-C e USB-A, ideal para ampliar a conectividade de dispositivos como MacBook Pro e outros com portas USB-C. Inclui um adaptador USB-A extra, proporcionando uma conexão Ethernet estável e veloz de até 1 Gbps, perfeita para filmes, jogos online e videoconferências. Oferece três portas USB 3.0 com velocidades de transferência de até 5 Gbps, permitindo conectar mouse, teclado, discos rígidos e outros periféricos. Fabricado em alumínio durável, garantindo longa vida útil e resistência ao uso diário. Design compacto e leve, ideal para viagens de negócios e uso diário, facilitando o transporte e armazenamento. Funciona com Windows 10/8.1/8, Mac OS e Chrome OS, oferecendo versatilidade incomparável para diversas necessidades de conectividade. Assegura uma conectividade estável e rápida, perfeita para tarefas exigentes como transferência de dados, streaming e mais.

Ver na Amazon
Hacking APIs: Breaking Web Application Programming Interfaces

Hacking APIs: Breaking Web Application Programming Interfaces

Hacking APIs is a crash course on web API security testing that will prepare you to penetration-test APIs, reap high rewards on bug bounty programs, and make your own APIs more secure. You'll learn how REST and GraphQL APIs work in the wild and set up a streamlined API testing lab with Burp Suite and Postman. Then you'll master tools useful for reconnaissance, endpoint analysis, and fuzzing, such as Kiterunner and OWASP Amass. Next, you'll learn to perform common attacks, like those targeting an API's authentication mechanisms and the injection vulnerabilities commonly found in web applications. You'll also learn techniques for bypassing protections against these attacks. In the book's nine guided labs, which target intentionally vulnerable APIs, you'll practice: Enumerating APIs users and endpoints using fuzzing techniques Using Postman to discover an excessive data exposure vulnerability Performing a JSON Web Token attack against an API authentication process Combining multiple API attack techniques to perform a NoSQL injection Attacking a GraphQL API to uncover a broken object level authorization vulnerability

Ver oferta
Gray Hat Hacking: The Ethical Hacker's Handbook, Sixth Edition

Gray Hat Hacking: The Ethical Hacker's Handbook, Sixth Edition

Up-to-date strategies for thwarting the latest, most insidious network attacks This fully updated, industry-standard security resource shows, step by step, how to fortify computer networks by learning and applying effective ethical hacking techniques. Based on curricula developed by the authors at major security conferences and colleges, the book features actionable planning and analysis methods as well as practical steps for identifying and combating both targeted and opportunistic attacks. Gray Hat Hacking: The Ethical Hacker's Handbook, Sixth Edition clearly explains the enemy's devious weapons, skills, and tactics and offers field-tested remedies, case studies, and testing labs. You will get complete coverage of Internet of Things, mobile, and Cloud security along with penetration testing, malware analysis, and reverse engineering techniques. State-of-the-art malware, ransomware, and system exploits are thoroughly explained. Fully revised content includes 7 new chapters covering the latest threats Includes proof-of-concept code stored on the GitHub repository Authors train attendees at major security conferences, including RSA, Black Hat, Defcon, and B-Sides

Ver na Amazon
Bloqueador USB de privacidade de porta USB para PC, notebook, bloco de laptop,

Bloqueador USB de privacidade de porta USB para PC, notebook, bloco de laptop,

Proteção de privacidade aprimorada: protege o link de transmissão de dados para evitar roubo de informações, fornecendo proteção de segurança robusta que protege a privacidade do usuário durante transferências de arquivos e garante uma conexão segura para interações de dispositivos sem preocupações em vários ambientes Uso a longo prazo: a camada protetora resistente ao desgaste, combinada com um corpo de metal resistente, oferece gerenciamento de calor confiável e qualidade duradoura durante o uso diário Entrega eficiente de energia: a tecnologia de chip inteligente garante a identificação automática dos requisitos de energia, fornecendo carregamento eficiente alinhando-se com vários protocolos de carregamento rápido para maior conveniência Proteção contra sobrecarga: evitando riscos de sobrecarga, este bloqueador de dados USB protege a vida útil da bateria e garante um desempenho estável, mantendo um fluxo estável de energia para melhorar a longevidade do dispositivo de forma eficaz Prático de transportar: com atenção à portabilidade, este bloqueador de dados USB oferece um design compacto que é leve e fácil de transportar, melhorando a conveniência do usuário e operação eficiente

Ver na Amazon

📩 Newsletter MundiX

Receba novidades de cibersegurança + um checklist de pentest grátis. Sem spam.

Ao assinar você concorda em receber e-mails. Cancele quando quiser.