Beveiligingsbedrijf Sysdig zegt dat het volgens hem de eerste ransomware-aanval heeft gevonden die van begin tot eind door een AI-agent is uitgevoerd.
Het Threat Research Team belt de operator JADEPUFFER en zegt dat een groot taalmodel de hele klus op zich nam: inbreken, inloggegevens stelen, dieper het netwerk ingaan, en vervolgens de productiedatabase van een bedrijf versleutelen en wissen.
Ransomware heeft altijd iemand nodig gehad die ergens op de hoogte was, hetzij aan het toetsenbord, hetzij aan het schrijven van het script dat de malware volgt. Als een model deze stappen zelf kan aan elkaar koppelen, daalt de vaardigheid die nodig is om een aanval uit te voeren tot wat het kost om een AI-agent in te huren.
De weg naar binnen was een oude, reeds gepatchte bug. JADEPUFFER maakte misbruik van CVE-2025-3248, een ontbrekende authenticatiefout in Langflow, een opensourcetool voor het bouwen van AI-apps en agentworkflows. Door deze fout kan iedereen die de server kan bereiken er zijn eigen Python-code op uitvoeren, zonder dat inloggen nodig is.
Langflow-boxen zijn een verleidelijk doelwit omdat ze vaak op internet staan en API-sleutels en cloudreferenties bevatten voor de services waarmee ze verbinding maken.
De fout werd verholpen in Langflow 1.3.0 en in mei 2025 toegevoegd aan de lijst met bekende exploited kwetsbaarheden van CISA, maar veel servers zijn nooit bijgewerkt. Het is niet eens de enige Langflow-bug die op deze manier wordt getroffen.
Eenmaal binnen werkte de agent snel en ruimde zichzelf op. Het bracht de machine in kaart en zocht vervolgens naar geheimen: API-sleutels voor AI-services (OpenAI, Anthropic, DeepSeek, Gemini), cloudreferenties (Chinese providers zoals Alibaba en Tencent naast AWS, Google en Azure), crypto-portemonneesleutels en database-logins.
Er werd een aanval uitgevoerd op een MinIO-opslagserver met behulp van de fabrieksstandaardaanmelding (minioadmin:minioadmin), die nooit was gewijzigd. Het zorgde ook voor een terugweg door een geplande taak toe te voegen die elke 30 minuten de server van de aanvaller pingde.
Vervolgens richtte het zich op zijn echte doel: een aparte, op internet gerichte server met een MySQL-database en Alibaba’s Nacos, een instellingen- en servicedirectory die gebruikelijk is in microservice-opstellingen. De agent heeft zich als root aangemeld bij de database.
Sysdig zegt dat het nooit heeft gezien waar die root-referenties vandaan kwamen, dus hun oorsprong is onbekend. Van daaruit nam het Nacos over met behulp van een authenticatie-bypass uit 2021 (CVE-2021-29441) en een standaard ondertekeningssleutel die Nacos sinds 2020 ongewijzigd heeft verzonden, en heeft vervolgens een eigen beheerdersaccount geplant.
Het losgeldbriefje zonder sleutel
De agent versleutelde alle 1.342 Nacos-instellingen, liet de originele tabellen vallen en liet een losgeldbriefje achter waarin Bitcoin werd geëist bij een Proton Mail-contactpersoon. Het genereerde een willekeurige coderingssleutel, drukte deze één keer op het scherm af en sloeg deze nooit op of stuurde deze nergens heen.
Er is geen sleutel om te overhandigen. Het slachtoffer kan de gegevens niet terugkrijgen, zelfs niet als hij betaalt. (De notitie claimt AES-256; Sysdig merkt op dat de tool die het gebruikte standaard de zwakkere AES-128 gebruikt, hoewel het resultaat hetzelfde is.)
Vervolgens ging het verder, verwijderde hele databases en liet een commentaar achter in de eigen code waarin werd beweerd dat het de gegevens al ergens anders had gekopieerd.

Sysdig zegt dat dit de agent is die aan het praten is, iets wat het team niet kon bevestigen, en vond geen bewijs dat er daadwerkelijk gegevens waren achtergelaten.
Hoe experts weten dat een AI aan het rijden was
Het duidelijkste teken was de code zelf. De aanvalsladingen zaten vol eenvoudige Engelse aantekeningen die uitlegden waarom elke stap werd gezet, het doorlopende commentaar dat een menselijke hacker nooit de moeite neemt om te schrijven, maar dat een model standaard produceert. De agent repareerde ook zijn eigen fouten op machinesnelheid.
In één geval ging het binnen 31 seconden van een mislukte aanmelding naar een correcte, uit meerdere stappen bestaande oplossing, waarbij de exacte oorzaak werd vastgesteld in plaats van het blindelings opnieuw te proberen. Sysdig telde meer dan 600 afzonderlijke, doelgerichte ladingen tijdens de hele operatie.
Eén detail is nog een puzzel. Het Bitcoin-adres in de losgeldbrief is het exacte voorbeeldadres dat in de eigen ontwikkelaarsdocumentatie van Bitcoin voorkomt, wat betekent dat het overal in de tekst voorkomt waarop deze modellen zijn getraind. Het is ook een echte, actieve portemonnee met een lange geschiedenis van betalingen.
Sysdig kan niet zeggen of het model eenvoudigweg een bekend adres uit het geheugen heeft geplakt, of dat de operator opzettelijk een echte portemonnee heeft gebruikt die toevallig overeenkomt met het beroemde voorbeeld.
Onderdeel van een grotere verschuiving
JADEPUFFER is de nieuwste stap in een snel bewegend jaar voor AI-gestuurde aanvallen. In augustus 2025 markeerden onderzoekers van ESET PromptLock, aangekondigd als de eerste AI-aangedreven ransomware; het bleek later een laboratoriumprototype van NYU te zijn genaamd Ransomware 3.0, geen echte aanval.
Rond dezelfde tijd rapporteerde Anthropic een echte afpersingscampagne waarbij de Claude Code-tool werd gebruikt om ten minste zeventien organisaties te treffen, met eisen van meer dan $ 500.000, hoewel een mens die organisatie nog steeds bestuurde.
In november 2025 maakte Anthropic bekend wat het de eerste grotendeels autonome cyberaanval noemde, een Chinese staatsgebonden spionage-inspanning waarbij Claude exploits schreef en gegevens stal met weinig menselijke hulp. Die operatie had ook de AI-uitvinders die niet bestonden, mogelijk dezelfde soort hallucinatie achter het vreemde Bitcoin-adres van JADEPUFFER.
De onderdelen van een serieuze aanval worden geautomatiseerd en oude, niet-gepatchte software is het gemakkelijke eerste doelwit. Agenten maken het vrijwel gratis om de hele backcatalogus van bekende bugs te besproeien, zodat verwaarloosde servers meer worden blootgesteld, niet minder.
Wat verdedigers moeten doen
De oplossingen zijn bekend. Patch Langflow en stel de code-uitvoerende eindpunten nooit bloot aan internet. Voer geen AI-tools uit waarvan de cloudsleutels en providerreferenties in hun omgeving aanwezig zijn; bewaar geheimen in een goede manager, weg van alles wat het internet kan bereiken.
Harden Nacos: wijzig de standaard ondertekeningssleutel, houd hem buiten het openbare internet en laat hem nooit als root verbinding maken met zijn database. Stel het beheerdersaccount van een database nooit bloot aan internet en vergrendel uitgaand verkeer zodat een gehackte server niet naar huis kan bellen.
Omdat aanvallers nu binnen enkele uren een nieuw advies kunnen inzetten, stelt Sysdig dat het letten op slecht gedrag tijdens de runtime belangrijker is dan het racen om te patchen.
Sysdig’s gepubliceerde indicatoren voor deze operatie omvatten:
- Ingangspunt: CVE-2025-3248 (Langflow niet-geverifieerde uitvoering van externe code)
- Command-and-control: 45.131.66(.)106, met een baken naar hxxp://45.131.66(.)106:4444/beacon elke 30 minuten
- Geclaimde staging-server: 64.20.53(.)230
- Bitcoin-adres losgeld: 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy; neem contact op met e78393397(@)proton(.)mij; losgeldtabel met de naam README_RANSOM
Sysdig noemt JADEPUFFER eerder een waarschuwingssignaal dan een crisis. Geen van de individuele zetten was slim of nieuw. Wat nieuw is, is dat een model ze op zichzelf heeft samengevoegd tot een volledige aanval op een verwaarloosde server.
Verwacht meer van hetzelfde naarmate agenttools volwassener worden, en behandel elke blootgestelde server, configuratieopslag of databasebeheerderaanmelding als iets dat een machine zal onderzoeken, en niet alleen maar een persoon.