: Lascia il tuo voto agli Italian Security Awards 2026
Documentato quello che si ritiene il primo caso di ransomware in cui un modello AI ha condotto in autonomia l'intera catena di attacco, dalla violazione iniziale alla distruzione dei dati.
Fonte: www.pexels.com
Il Threat Research Team di Sysdig si è trovato di fronte a quella che sembrerebbe la prima operazione ransomware condotta integralmente da un modello AI, senza l’ausilio un operatore umano alla tastiera. I ricercatori hanno ricostruito oltre 600 payload distinti eseguiti in una finestra temporale ristretta, con l'agente che è passato da un login fallito a una correzione funzionante in trentuno secondi.
L'operatore è stato battezzato JadePuffer ed è ufficialmente classificato come agentic threat actor, categoria che indica un attaccante la cui capacità offensiva è affidata a un agente AI. stando a quanto appurato dalle investigazioni, il modello ha eseguito da solo ricognizione, furto di credenziali, movimento laterale, persistenza ed estorsione. La cosa più importante è che JadePuffer ha adattato il proprio comportamento agli errori incontrati lungo il percorso e ha riprovato i passaggi falliti in tempo reale, dopo averne affinato i parametri, mostrando un livello di autonomia che va oltre i precedenti impieghi dell'AI come “suggeritore di comandi” o generatore di frammenti di codice.
Partecipa agli ItalianSecurityAwards 2026 ed esprimi il tuo voto premiando le soluzioni di cybersecurity che reputi più innovative
Il tratto più riconoscibile emerso dall'analisi riguarda la forma stessa del codice malevolo: i payload di JadePuffer si autodescrivono, mostrando ragionamenti in linguaggio naturale, criteri di priorità sui bersagli e annotazioni dettagliate che un operatore umano raramente scrive a mano su comandi usa e getta, ma che un modello generativo produce per riflesso.
Il caso arriva a pochi mesi da un precedente che aveva già segnato uno spartiacque. A settembre 2025 era emersa la campagna GTG-1002, primo caso documentato di spionaggio informatico orchestrato in autonomia da un'AI, attribuita con alto grado di confidenza a un gruppo APT legato allo stato cinese. In quell'operazione il modello aveva gestito autonomamente ricognizione, scoperta di vulnerabilità, generazione di exploit ed esfiltrazione, con l'intervento umano ridotto a pochi punti decisionali. La distanza tra i due casi misura la velocità dell'evoluzione, perché una capacità che nove mesi fa apparteneva a un APT con ampie risorse, oggi si ritrova ora nelle mani di un threat actor motivato finanziariamente. Sysdig sottolinea a riguardo che il livello minimo di competenza richiesto per gestire un ransomware ormai equivale al costo di un agente. Anzi, i ricercatori fanno notare che se l'agente gira su credenziali rubate attraverso tecniche di LLMjacking, il costo per l'attaccante si avvicina allo zero.

L'accesso iniziale è passato per un'istanza di Langflow esposta su Internet. Langflow è un framework open source molto diffuso, usato per costruire applicazioni e workflow basati su modelli linguistici. La sua natura lo rende un bersaglio appetibile, perché questi server contengono spesso chiavi API dei provider AI e credenziali cloud e vengono messi online senza controlli di rete adeguati. La porta d'ingresso è stata la vulnerabilità nota, monitorata con la sigla CVE-2025-3248, che corrisponde a una falla di autenticazione mancante nell'endpoint di validazione del codice. Se sfruttata correttamente come nel caso di questo attacco, consente a un attaccante non autenticato di eseguire codice arbitrario sull'host. Tutti i payload sono stati recapitati come codice Python codificato in Base64 attraverso lo stesso endpoint compromesso.
Ottenuta l'esecuzione, il modello ha avviato una fase di ricognizione sull'host, enumerando sistema operativo, hostname, interfacce di rete e processi attivi, per poi passare a un rastrellamento di secret condotto in parallelo su più categorie. Ha cercato chiavi API dei principali provider AI, credenziali dei servizi cloud con una copertura esplicita dei fornitori cinesi oltre ad AWS, Google Cloud e Azure, wallet di criptovalute con le relative seed phrase, credenziali di database e file di configurazione. Ha poi effettuato il dump del database Postgres che alimenta Langflow, rastrellando credenziali, chiavi e record utente memorizzati, per poi cancellare i file temporanei creati durante l'operazione.
Da lì il modello ha scandagliato lo spazio di indirizzi interno alla ricerca di servizi raggiungibili, per approdare a un archivio a oggetti MinIO. Si tratta di un sistema di storage compatibile con lo standard S3 di Amazon, usato di frequente per conservare dati applicativi, backup, modelli di machine learning e stato dell'infrastruttura, che è raramente preso di mira negli attacchi. L'agente ne ha eseguito l'intera enumerazione sfruttando le credenziali di default mai cambiate, ha elencato tutti i bucket, e ha scaricato i file che potevano contenere credenziali, salvando su disco una configurazione con una coppia di chiavi di accesso.

La sequenza mostra bene il comportamento adattivo dell'agente, perché quando una prima richiesta ha ricevuto una risposta in formato XML invece del JSON atteso, il modello ha immediatamente riadattato il proprio parser allo schema corretto e ha rilanciato la richiesta, procedendo poi per gradi dal semplice controllo di stato fino al recupero mirato dei file dai nomi sospetti. Prima di spostarsi, l'agente ha garantito la propria persistenza sull'host installando un'attività pianificata che contatta l'infrastruttura dell'attaccante ogni trenta minuti.
Gli artefatti raccolti sull'istanza compromessa hanno rivelato che il vero obiettivo era un server di produzione esposto su Internet che ospitava un database MySQL e un servizio di configurazione Nacos (una piattaforma di service discovery e configurazione dinamica molto usata nelle architetture a microservizi, celebre per problemi di sicurezza). Contro Nacos il modello ha agito su più fronti contemporaneamente, sfruttando il bypass dell'autenticazione, forgiando un token JWT valido con la chiave predefinita e, grazie all'accesso root al database, inserendo direttamente un amministratore fittizio nella base dati che sostiene il servizio.
L'inserimento della backdoor denota un ciclo di pianificazione, azione, osservazione e correzione. Un primo payload ha generato l'hash della password e creato l'account con ruolo di amministratore; la verifica di login successiva ha però restituito un esito negativo. Trentuno secondi dopo, senza alcun intervento umano, un payload correttivo ha diagnosticato la causa del fallimento, eliminato l'account difettoso e ricreato l'utente con un hash corretto, così da ottenere l'accesso al tentativo seguente. Gli artefatti mostrano poi una ricognizione metodica delle possibilità di fuga dal container. Al termine della verifica il modello ha scritto un marcatore di completamento, il segnale con cui un agente strutturato dichiara di aver concluso un compito e di essere pronto a procedere.
A quel punto è scattata la fase di estorsione vera e propria. L'agente ha cifrato 1.342 elementi di configurazione di Nacos con la funzione di cifratura nativa di MySQL, ha eliminato le tabelle originali e la loro cronologia, e ha creato una nota di riscatto con la richiesta economica, un indirizzo Bitcoin e un contatto email. Il dettaglio più insidioso riguarda la chiave di cifratura, generata in modo sostanzialmente casuale, stampata a video una sola volta e mai salvata né trasmessa. Questo significa che la vittima non potrà recuperare le configurazioni cifrate anche pagando il riscatto, perché la chiave non esiste più da nessuna parte.
Non manca qualche sbavatura. La nota dichiara un algoritmo AES-256, mentre la funzione impiegata usa per impostazione predefinita un AES-128 (non cambia il danno per la vittima, è solo una nota tecnica).
Oltre alla già citata autonarrazione del codice. l'attribuzione a un agente AI, è dovuta anche alla diagnosi e correzione degli errori a velocità di macchina, misurata in pochi secondi tra il fallimento e la riparazione mirata, con ogni correzione calibrata sullo specifico tipo di errore invece che su un generico nuovo tentativo. Inoltre, è da annotare la comprensione di un contesto testuale piazzato deliberatamente dai ricercatori, che è stato letto e interpretato dal modello in un modo che uno scanner automatico non avrebbe potuto replicare. Ultimo ma non meno importante, l'indirizzo di pagamento coincide con l'esempio canonico presente nella documentazione tecnica di Bitcoin che è molto diffuso nei corpus di addestramento dei modelli.
La prima implicazione per chi difende è la presa di coscienza che, con un’automazione di questo livello, il ransomware smette di essere un mestiere per soli esperti. Parallelamente, questo approccio all’attacco fa tornare centrali le vulnerabilità vecchie, dato che l'attacco ha fatto perno su falle del 2021 e su una chiave predefinita mai cambiata su infrastrutture trascurate ed esposte. Tutto questo costituisce un pericolo ma anche un’opportunità di detection inedita, perché un agente che dichiara i propri obiettivi nel codice lascia tracce che un operatore umano non produrrebbe.
Esplora altri articoli su questi argomenti
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato
07-07-2026
07-07-2026
07-07-2026
06-07-2026