JadePuffer: o primeiro ransomware operado inteiramente por um agente de IA

Investigadores da empresa de segurança cloud Sysdig identificaram aquele que acreditam ser o primeiro caso documentado de uma operação de ransomware conduzida integralmente por um agente de inteligência artificial. Batizada de JadePuffer, a operação usou um agente baseado num modelo de linguagem (LLM) para executar autonomamente todas as fases do ataque — do reconhecimento inicial à encriptação dos dados e à nota de resgate.

Resposta rápida: O JadePuffer é o primeiro ransomware documentado operado inteiramente por um agente de IA, sem intervenção humana durante o ataque. Explorou a vulnerabilidade CVE-2025-3248 no Langflow (framework open-source para aplicações de IA), roubou credenciais, moveu-se lateralmente, garantiu persistência e encriptou 1.342 itens de configuração num servidor Nacos — adaptando-se a falhas em tempo real, num caso em apenas 31 segundos. A Sysdig classifica o fenómeno como a chegada dos “agentic threat actors”.

Um atacante que aprende e se adapta em segundos

O que distingue o JadePuffer de qualquer ransomware anterior não é a técnica de encriptação — é a autonomia. Segundo a Sysdig, o agente de IA realizou sozinho o reconhecimento do alvo, o roubo de credenciais, o movimento lateral na rede, o estabelecimento de persistência, a escalada de privilégios e a encriptação dos dados.

Mais impressionante foi a capacidade de adaptação a obstáculos, comportando-se como um operador humano experiente. A operação repetia passos falhados com parâmetros refinados: numa das sequências documentadas, o agente passou de um login falhado a uma correção funcional em 31 segundos. Noutro exemplo, quando um pedido à API do MinIO devolveu XML em vez de JSON, o payload seguinte ajustou automaticamente a lógica de interpretação.

Anatomia do ataque: do Langflow ao resgate

O acesso inicial foi obtido através da exploração da CVE-2025-3248, uma vulnerabilidade de execução remota de código sem autenticação no Langflow — uma framework open-source popular para construir aplicações com modelos de linguagem. A falha foi corrigida em abril de 2025 e sinalizada pela CISA como explorada ativamente pouco depois, sobretudo em instâncias expostas à internet com pouco endurecimento de segurança mas repletas de credenciais cloud e chaves de API.

Com execução de código garantida, o agente extraiu a base de dados PostgreSQL do Langflow, recolheu informação do host, procurou variáveis de ambiente e ficheiros sensíveis, obteve credenciais e enumerou um repositório de objetos MinIO. Estabeleceu depois persistência instalando um cron job no servidor, configurado para contactar a infraestrutura do atacante a cada 30 minutos.

A partir da instância Langflow, o atacante pivotou para um servidor MySQL de produção com o Alibaba Nacos (serviço de nomes e configuração), usando credenciais de root cuja origem a Sysdig não conseguiu determinar. O Nacos foi atacado com múltiplos payloads, incluindo um que explorava a CVE-2021-29441, uma falha de contorno de autenticação que permite criar contas de administrador ilegítimas.

A encriptação: 1.342 configurações destruídas e uma chave perdida

Na fase final, o agente encriptou 1.342 itens de configuração de serviços Nacos usando a função AES_ENCRYPT() do próprio MySQL, apagou as tabelas originais (config_info e history) e criou uma tabela de extorsão chamada README_RANSOM, contendo o pedido de resgate, um endereço Bitcoin e um contacto Proton Mail.

Excerto da funcao de encriptacao usada pelo agente de IA do ransomware JadePuffer
A função de encriptação capturada pelos investigadores. Imagem: Sysdig, via BleepingComputer

Dois detalhes revelam simultaneamente o poder e a imaturidade destes ataques. Primeiro, a nota de resgate afirmava que os dados tinham sido encriptados com AES-256, mas os investigadores acreditam tratar-se do mais fraco AES-128-ECB — o agente exagerou as suas próprias capacidades. Segundo, e mais grave: a chave de encriptação foi gerada aleatoriamente mas nunca guardada nem transmitida ao atacante. Ou seja, mesmo pagando o resgate, a vítima jamais recuperaria os dados.

Outro pormenor revelador: o endereço Bitcoin da nota de resgate era um endereço de exemplo amplamente usado em documentação pública — provavelmente reproduzido pelo modelo a partir dos seus dados de treino. Os investigadores identificaram ainda comentários detalhados em linguagem natural no código gerado, descrevendo o raciocínio operacional do agente.

A era dos agentic threat actors e o que muda para as defesas

A Sysdig conclui que o caso JadePuffer demonstra a chegada da era dos agentic threat actors (ATAs) — atacantes autónomos baseados em IA que reduzem drasticamente o nível de competencia técnica necessário para conduzir ciberataques destrutivos. Há, porém, um reverso: os payloads gerados por LLMs criam novas oportunidades de deteção para as solucoes de segurança, pela forma peculiar como operam e pelos vestígios que deixam.

Como proteger a sua organização

  • Atualize o Langflow e frameworks de IA — a CVE-2025-3248 esta corrigida desde abril de 2025; instancias expostas sem patch são alvos diretos.
  • Nao exponha ferramentas de desenvolvimento de IA a internet sem autenticacao forte e segmentacao de rede.
  • Limpe credenciais de ambientes de teste — o agente encontrou chaves de API e credenciais cloud em variáveis de ambiente.
  • Monitorize comportamento anómalo em alta velocidade — iteracoes de ataque em segundos são um marcador de automação por IA.
  • Backups offline testados — neste caso, nem o pagamento recuperaria os dados; o backup e a unica salvaguarda real.

Para as entidades portuguesas abrangidas pelo Regime Juridico da Ciberseguranca, a gestao de vulnerabilidades e os planos de resposta a ransomware são obrigacoes legais — e casos como o JadePuffer mostram que a janela entre a exposicao de uma falha e a sua exploracao esta a encurtar para segundos. Veja tambem o nosso sumario executivo sobre ransomware.

Esta informação tem carater noticioso e baseia-se na investigacao publicada pela Sysdig e reportada pelo BleepingComputer.