Pesquisadores da empresa de segurança em nuvem Sysdig documentaram o que classificam como o primeiro caso confirmado de uma operação completa de ataque de ransomware conduzida de ponta a ponta por um agente de inteligência artificial baseado em modelo de linguagem de grande porte.
A operação foi batizada de JadePuffer e representa um marco preocupante na evolução das ameaças digitais: pela primeira vez, todas as etapas de um ataque de extorsão, do reconhecimento inicial à criptografia dos dados, foram executadas de forma autônoma por uma IA, sem que um operador humano precisasse intervir nos detalhes técnicos da intrusão.
“A equipe de pesquisa de ameaças da Sysdig capturou o que avaliamos ser o primeiro caso documentado de ransomware agêntico: uma operação completa de extorsão conduzida de ponta a ponta por um modelo de linguagem de grande porte”, afirmou Michael Clark, diretor de pesquisa de ameaças da Sysdig, no relatório publicado pela empresa.
O Que Torna o JadePuffer Diferente de Outros Ataques
Ransomware não é novidade no cenário de ameaças cibernéticas, mas sempre envolveu um ser humano no controle das operações mais críticas. Mesmo em ataques altamente automatizados ou baseados em plataformas de ransomware como serviço, havia um operador humano conduzindo escolha de alvos, execução de payloads e adaptações diante de obstáculos.
O JadePuffer muda esse padrão. A Sysdig identificou mais de 600 ações distintas e coordenadas executadas em uma janela de tempo comprimida, com adaptações em tempo real que incluíam ajustes de código e lógica de análise baseados nos erros encontrados pelo próprio agente. Em uma das sequências documentadas, o agente foi de uma tentativa de login com falha para uma solução funcional em 31 segundos.
Outro indicador forte de que uma IA conduzia o ataque, e não um humano ou um script fixo, é a presença de comentários detalhados em linguagem natural no código gerado, descrevendo o raciocínio por trás de cada ação. Nenhum operador humano insere esse tipo de anotação em código de ataque em produção.
Como o Ataque Foi Executado: Etapa Por Etapa

O ataque teve dois alvos distintos e se desenvolveu em sequência.

Ponto de Entrada: A Vulnerabilidade no Langflow
O JadePuffer obteve acesso inicial explorando a vulnerabilidade CVE-2025-3248, uma falha de execução remota de código não autenticada no Langflow, framework de código aberto usado para construir aplicativos baseados em modelos de linguagem. A falha havia sido corrigida pelo fornecedor em 1º de abril de 2025, e a CISA, agência americana de segurança cibernética, a identificou como explorada ativamente em ataques já em maio do mesmo ano.
Servidores Langflow expostos à internet são alvos especialmente atraentes porque tendem a ser implantados com segurança mínima, mas frequentemente armazenam credenciais de nuvem, chaves de API e outras informações sensíveis de ambientes de IA.
Após obter execução de código via essa vulnerabilidade, o agente de IA extraiu o conteúdo do banco de dados PostgreSQL do Langflow, coletou informações do sistema, buscou variáveis de ambiente e arquivos sensíveis, recuperou credenciais armazenadas e enumerou um repositório de objetos MinIO conectado ao ambiente.
A Sysdig destacou a capacidade adaptativa do agente durante a enumeração do MinIO: quando uma solicitação de API retornava dados em formato XML em vez do JSON esperado, o próximo payload gerado pelo agente ajustava automaticamente a lógica de análise para trabalhar com o formato recebido.
- Ofertas na Amazon
Movimentação Lateral e o Servidor de Produção
A partir da instância comprometida do Langflow, o agente acessou um servidor MySQL de produção que executava o Alibaba Nacos, serviço de nomes e configuração amplamente usado em arquiteturas de microsserviços. O sistema Nacos foi atacado por múltiplos vetores, incluindo a exploração da CVE-2021-29441, falha que permite criação de contas de administrador não autorizadas.
O agente também sondou métodos de escape do contêiner hospedeiro e estabeleceu persistência instalando uma tarefa cron no servidor Langflow, configurada para enviar um sinal à infraestrutura do atacante a cada 30 minutos.
O Payload Final: Criptografia e Nota de Resgate
Na fase final, o agente criptografou 1.342 itens de configuração do serviço Nacos usando a função AES_ENCRYPT() do próprio MySQL, excluiu as tabelas originais de dados e histórico, e criou uma nova tabela chamada README_RANSOM contendo a exigência de resgate, um endereço de pagamento em Bitcoin e um contato de e-mail via Proton Mail.
A nota de resgate afirma que os dados foram criptografados com AES-256, mas os pesquisadores da Sysdig acreditam que isso seja uma afirmação exagerada e que o algoritmo real usado foi o AES-128-ECB, versão mais simples e menos segura.
Há também um detalhe que expõe uma limitação técnica relevante: a chave de criptografia foi gerada aleatoriamente, mas não foi armazenada nem transmitida ao atacante. Isso significa que, mesmo que a vítima pagasse o resgate, o atacante possivelmente não teria como descriptografar os dados.
O endereço Bitcoin presente na nota de resgate é amplamente usado como exemplo em documentação pública, o que levanta dois cenários possíveis: ou o modelo de linguagem reproduziu espontaneamente um endereço de seus dados de treinamento, ou o operador configurou o agente com um endereço real que coincide com o exemplo de documentação. A Sysdig não conseguiu determinar qual dos dois é o caso.
O Papel Humano: Maior do Que o Título Sugere
Um ponto de nuance importante que fontes adicionais destacaram após a publicação do relatório original diz respeito ao papel humano na operação. Embora a execução técnica tenha sido autônoma, um operador humano permaneceu envolvido na escolha do alvo, na configuração da infraestrutura do ataque e em alguns elementos de acesso inicial. A autonomia do agente de IA cobriu especificamente a cadeia de execução técnica da intrusão, e não o planejamento estratégico da campanha.
Essa distinção não diminui a importância do que foi documentado, mas contextualiza melhor o que “conduzido por IA” significa nesse caso: o agente executou de forma independente as etapas técnicas complexas do ataque, adaptando-se em tempo real, sem que o operador precisasse ter profundo conhecimento técnico em cada uma delas.
O Que Isso Significa Para o Cenário de Ameaças
A Sysdig conclui que o caso JadePuffer demonstra a chegada da era dos Agentes de Ameaça Agênticos, ou ATAs, termo criado para descrever operadores cujo poder de ataque é entregue por um agente de IA em vez de um conjunto de ferramentas operadas manualmente.
A implicação mais importante não é técnica, é estratégica: o ransomware deixou de ser um domínio exclusivo de especialistas altamente capacitados. Um agente de LLM pode encadear reconhecimento, roubo de credenciais, movimentação lateral, persistência e destruição de dados sem que o operador por trás do teclado precise ter expertise profunda em nenhuma dessas etapas individualmente.
Ao mesmo tempo, o ataque também dependeu criticamente de vulnerabilidades antigas não corrigidas. A CVE-2025-3248 no Langflow tinha patch disponível há meses. A CVE-2021-29441 no Nacos tinha quatro anos quando foi explorada. A chave de assinatura padrão do Nacos, que nunca havia sido alterada pela vítima, também foi usada no ataque.
Novas Oportunidades de Detecção
A Sysdig aponta um contraponto relevante para as equipes de segurança defensiva. As características que identificam um agente de LLM conduzindo um ataque, os comentários em linguagem natural no código gerado, as iterações rápidas e adaptativas baseadas em erros específicos, e a coerência de mais de 600 ações distintas em uma janela de tempo comprimida, criam assinaturas de detecção novas e potencialmente detectáveis por ferramentas de segurança que monitoram comportamento de execução.
Em outras palavras, IA gerando ataques também gera padrões que ferramentas de defesa baseadas em IA podem aprender a reconhecer.
Entendendo os Termos Técnicos Mencionados
LLM (Modelo de Linguagem de Grande Porte): sistema de inteligência artificial treinado em enormes volumes de texto, capaz de compreender e gerar linguagem natural, e cada vez mais capaz de executar sequências de ações complexas de forma autônoma.
Ransomware: tipo de software malicioso que criptografa dados da vítima e exige pagamento em troca da chave de descriptografia.
CVE (Common Vulnerabilities and Exposures): sistema padronizado de identificação e catalogação de vulnerabilidades de segurança em softwares e sistemas, com cada falha recebendo um número único de identificação.
Execução Remota de Código (RCE): tipo de vulnerabilidade que permite a um atacante executar código arbitrário em um sistema remoto, sem autenticação ou acesso físico ao equipamento.
Movimentação Lateral: técnica usada por atacantes para se mover dentro de uma rede comprometida, acessando outros sistemas a partir do ponto de entrada inicial.
Tarefa cron: mecanismo de agendamento de tarefas em sistemas Linux que permite executar comandos ou scripts automaticamente em intervalos regulares.
AES (Advanced Encryption Standard): padrão de criptografia amplamente usado, disponível em diferentes variantes como AES-128 e AES-256, onde o número indica o tamanho em bits da chave usada.
MinIO: sistema de armazenamento de objetos de código aberto compatível com a API do Amazon S3, usado para armazenar grandes volumes de dados não estruturados.
Nacos: plataforma de código aberto da Alibaba para gerenciamento de configurações e descoberta de serviços em arquiteturas de microsserviços.
Considerações
O JadePuffer marca um ponto de inflexão na história do ransomware. Pela primeira vez, uma operação completa de extorsão digital foi documentada com evidências convincentes de que a cadeia técnica de ataque foi conduzida de forma autônoma por um modelo de linguagem, sem a necessidade de um especialista humano em cada etapa.
As falhas exploradas eram antigas e tinham correções disponíveis. A infraestrutura alvo estava exposta à internet com segurança mínima. O atacante provavelmente não tinha as credenciais necessárias para descriptografar os dados mesmo depois de receber o resgate. Em vários sentidos, o ataque foi imperfeito.
Mas isso é exatamente o ponto. O JadePuffer não demonstra que agentes de IA criam ataques perfeitos. Demonstra que a barreira de entrada para lançar um ataque sofisticado caiu drasticamente quando um agente de LLM pode encadear todo o trabalho técnico complexo de forma autônoma, enquanto o operador por trás precisa apenas apontar o alvo.
Fontes Consultadas
Sysdig, JADEPUFFER: Agentic Ransomware for Automated Database Extortion
BleepingComputer, JadePuffer ransomware used AI agent to automate entire attack
Dark Reading, JadePuffer: The First Complete LLM-Driven Ransomware Attack
CSO Online, This AI agent autonomously hacked a network, adapted on the fly, and demanded a ransom
NSFOCUS, AI Security Incident: JadePuffer Ransomware Leverages AI Agent to Automate Attacks













