L’agent IA JadePuffer mène une campagne de ransomware

Des chercheurs de Sysdig ont découvert une opération de ransomware menée de bout en bout par un agent IA. Son usage constitue une évolution et non pas une révolution dans les techniques des cybercriminels, observent les analystes.

On connaissait la puissance de l’IA pour découvrir des failles de sécurité. Il faudra maintenant compter sur les agents IA pour épauler les cybercriminels dans leurs exploits et en particulier les groupes de ransomware. Les experts de Sysdig ont trouvé une campagne où un agent baptisé JadePuffer s’est introduit dans un serveur Langflow, a récupéré des identifiants, s’est déplacé latéralement et a chiffré plus de 1300 enregistrements provenant de bases de données. L’agent a donc mené une opération de cyber-intrusion de bout en bout de manière autonome. Pour l’équipe du fournisseur d’outils de sécurité, il s’agit « du premier cas documenté de rançongiciel agentique une opération d’extorsion complète menée de bout en bout par un LLM »

La porte ouverte par une faille connue

Dans le détail, JadePuffer a obtenu un premier accès en exploitant la faille CVE-2025-3248, de type RCE (exécution de code à distance) dans une instance Langflow exposée à Internet, avant de se propager vers un serveur de production exécutant MySQL et la plateforme de configuration Nacos d’Alibaba. L’agent IA a récupéré des identifiants, établi une persistance, cartographié les services internes, puis a finalement chiffré 1 342 enregistrements de configuration Nacos avant de supprimer les tables d’origine et de laisser une demande de rançon en bitcoins. Michael Clark, directeur de recherche sur les menaces de Sysdig a écrit que ce qui distinguait cette campagne, ce n’étaient pas les techniques d’exploitation qui reposaient en grande partie sur des vulnérabilités connues et des erreurs de configuration, mais la capacité de l’agent à prendre des décisions opérationnelles tout au long de l’intrusion.

Selon Sysdig, l’opération a touché deux machines distinctes : l’hôte Langflow compromis qui a fourni l’accès initial, et un deuxième serveur de base de données de production qui constituait la véritable cible de l’agent. Selon les chercheurs, toutes les charges utiles ont été transmises sous forme de code Python encodé en Base64 via le point de terminaison d’exécution de code à distance de Langflow. « Cependant, la caractéristique la plus frappante concerne le comportement du LLM », a-t-il souligné. « Les charges utiles de JadePuffer étaient auto-explicatives. Elles comportaient un raisonnement en langage naturel, une hiérarchisation des cibles et le type d’annotations détaillées que les opérateurs humains rédigent rarement, mais que le code généré par un LLM produit de manière instinctive. » L’article cite plusieurs cas où l’agent IA a diagnostiqué des défaillances et généré des charges utiles corrigées sans intervention humaine. Dans un cas précis, il a réussi à remédier en 31 secondes à une tentative infructueuse de création de compte administrateur sur la plateforme Nacos d’Alibaba. Pour Sysdig, ce comportement, associé à un code auto-commenté et à un raisonnement contextuel, valide sa conclusion selon laquelle l’opération était pilotée par un LLM.

Une évolution plus qu’une révolution

Vibhum Dubey, chercheur indépendant en cybersécurité et membre d’une red team, pense que cette campagne représente « davantage une évolution dans la mise en œuvre qu’une technique de rançongiciel entièrement nouvelle ». Il rappelle que depuis des années, les attaquants automatisent la reconnaissance, le vol d’identifiants et le déploiement, ajoutant que « la différence réside dans le fait qu’un agent IA peut relier ces étapes entre elles et prendre des décisions sans attendre l’intervention d’un opérateur humain. » Pour lui, la principale source de préoccupation concerne la prise de décision adaptative. « Les systèmes de détection traditionnels partent du principe que les attaquants suivent des parcours assez prévisibles. Un agent IA peut rapidement changer de tactique si quelque chose est bloqué, ce qui rend chaque intrusion légèrement différente. Je m’inquiète moins de l’étape de chiffrement que de la phase silencieuse qui la précède, durant laquelle l’agent cartographie les identités, les privilèges et les relations de confiance tout en évitant d’être détecté », a-t-il déclaré.

« Plutôt que de se concentrer sur des outils individuels, les défenseurs devraient donner la priorité à la détection des comportements des attaquants, notamment les activités suspectes liées aux identités, l’escalade des privilèges, les schémas d’authentification anormaux et les séquences d’actions inhabituelles entre les systèmes », a suggéré M. Dubey. « Même si l’IA réduit les obstacles opérationnels liés aux campagnes de ransomware, elle ne remplace pas les attaquants expérimentés », a-t-il affirmé. « Là où l’IA fait la différence, c’est en aidant les opérateurs moins expérimentés à enchaîner plus efficacement les activités post-exploitation. Les défenseurs doivent partir du principe que les futures intrusions seront plus rapides et nécessiteront moins d’intervention manuelle de la part de l’attaquant. »

La détection comportementale, toujours essentielle

Les agents IA autonomes capables d’exécuter de manière indépendante plusieurs étapes d’une attaque représentent « une évolution plutôt qu’une révolution », s’accorde aussi à dire Prashant Sharma, consultant en cybersécurité chez Cyble. « Les techniques assistées par l’IA ne sont pas nouvelles, mais l’émergence d’agents autonomes pouvant exécuter de manière indépendante plusieurs étapes d’une attaque pourrait considérablement accroître la vitesse, l’ampleur et l’adaptabilité des opérations de rançongiciel », a convenu M. Sharma.

Il rappelle que les acteurs malveillants utilisaient déjà l’IA pour améliorer le phishing, le développement de logiciels malveillants, la reconnaissance et l’ingénierie sociale, et il pense que les capacités autonomes se généraliseront à mesure que la technologie mûrit. Reste que, pour les responsables de la sécurité des entreprises, les priorités de sécurité restent tout à fait inchangées. « Les plateformes EDR, XDR et SOC modernes sont conçues pour signaler les comportements malveillants plutôt que la technologie sous-jacente qui les anime », a souligné M. Sharma. « Qu’une attaque soit menée manuellement ou orchestrée par un agent IA, des actions comme l’utilisation abusive d’identifiants, l’escalade de privilèges, les mouvements latéraux, l’exfiltration de données et le déploiement de ransomwares laissent toujours des traces comportementales détectables. »

chevron_left
chevron_right