Cybersicurezza

Un agente IA ha eseguito un ransomware da solo, ma serviva un umano per prepararlo

Adrian Kessler

Il ransomware che ha fatto notizia nelle ultime ore nel mondo della cybersecurity non è stato orchestrato da un hacker chino davanti a un terminale. Un agente di IA ha gestito in autonomia ogni fase tecnica dell’attacco: mappatura del target, furto di credenziali, movimento laterale tra i sistemi e crittografia di oltre mille record di database. L’unica cosa che non è riuscito a fare è stata allestire la propria infrastruttura di pagamento o inviare la richiesta di riscatto.

L’azienda di sicurezza cloud Sysdig ha documentato l’intrusione, battezzandola JadePuffer. L’agente ha ottenuto l’accesso attraverso CVE-2025-3248, una falla di esecuzione remota di codice non autenticata in Langflow, un framework open-source usato per creare applicazioni basate su IA. Da quel punto di ingresso, ha setacciato l’ambiente alla ricerca di chiavi API, token di accesso al cloud e credenziali di database, quindi si è spostato su un server MySQL di produzione e ha cifrato 1.342 elementi di configurazione archiviati in Nacos — un registry di servizi enterprise ampiamente utilizzato nelle infrastrutture di origine cinese.

Il dettaglio più sorprendente non è l’ampiezza dell’attacco, ma la sua capacità di autocorrezione. Quando un tentativo di forgiare credenziali di amministratore è fallito a causa di un errore di configurazione del percorso, l’agente ha diagnosticato la causa principale, scritto uno script di remediation in 15 passaggi e lo ha eseguito in 31 secondi. È un tempo troppo rapido perché un operatore umano potesse diagnosticare, scrivere script ed eseguire una correzione — il comportamento suggerisce un ragionamento genuino al volo, non playbook predefiniti.

Niente di tutto ciò significa che le operazioni ransomware stanno per funzionare senza persone. L’attacco ha comunque richiesto che un umano configurasse il server di comando e controllo, registrasse l’indirizzo di contatto per il riscatto su ProtonMail e costruisse l’infrastruttura prima che l’agente fosse schierato. La chiave di cifratura generata da JadePuffer non è mai stata memorizzata né trasmessa — il che significa che le vittime non possono recuperare i propri dati nemmeno pagando, un difetto che riflette una progettazione operativa approssimativa o una totale indifferenza verso la fase di negoziazione post-attacco.

Quello che JadePuffer documenta davvero è una riduzione dei costi, non un passaggio di consegne. Ogni fase che prima richiedeva competenze specialistiche — movimento laterale, escalation dei privilegi, enumerazione dei database, correzione degli errori in tempo reale — può ora essere delegata a un agente. La conclusione di Sysdig è diretta: la soglia di competenza necessaria per condurre attacchi ransomware è scesa a quanto costa far funzionare un modello linguistico.

L’attacco ha preso di mira installazioni di Langflow esposte su internet. Al momento in cui la CVE di Langflow è diventata pubblica, sono state segnalate circa 7.000 istanze vulnerabili. Qualsiasi organizzazione che esegua Langflow non patchato, Nacos o infrastrutture LLM open-source simili su server esposti a internet si trova nella stessa finestra di esposizione. Non si tratta di un consiglio nuovo: è la stessa indicazione di postura che esisteva prima degli agenti di IA. La differenza è che l’operatore che sonda quei servizi esposti ora gira in automatico.

La vulnerabilità di Langflow è stata corretta ad aprile 2025. Sysdig ha pubblicato gli indicatori di compromissione completi, inclusi gli indirizzi IP del C2 e l’indirizzo di contatto per il riscatto. CISA ha in fase di bozza una guida sui vincoli dei sistemi di IA agentica, attesa entro la fine dell’anno — la questione su dove finisca l’autorità di un agente IA schierato e dove inizi la responsabilità non ha ancora prodotto una politica.

Tag: , , , , ,

Discussione

Ci sono 0 commenti.