Productos FTTH

Tienda FFTH desde 2004

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Agente de IA aprovecha vulnerabilidad RCE en Langflow para automatizar ataque de ransomware en bases de datos


La empresa Sysdig detectó a JADEPUFFER, el primer ataque de ransomware ejecutado de principio a fin por un agente de IA. El modelo automatizó la infiltración, el robo de credenciales y el cifrado de datos, demostrando que la barrera técnica para lanzar ataques ahora es mucho menor. Este incidente resalta la urgencia de parchear vulnerabilidades conocidas y no exponer bases de datos ni claves de API a internet.



La firma de seguridad Sysdig afirma que ha encontrado lo que cree que es el primer ataque de ransomware ejecutado de principio a fin por un agente de IA. Su equipo de investigación de amenazas llama al operador JADEPUFFER y señala que un modelo de lenguaje extenso se encargó de todo el trabajo: entrar por la fuerza, robar credenciales, moverse más profundamente en la red y luego cifrar y borrar la base de datos de producción de una empresa. El ransomware siempre ha necesitado a una persona capacitada en algún punto del proceso, ya sea al teclado o escribiendo el script que sigue el malware. Si un modelo puede encadenar esos pasos por sí solo, la habilidad necesaria para lanzar un ataque se reduce a lo que cueste alquilar un agente de IA. La vía de entrada fue un error antiguo ya parcheado. JADEPUFFER explotó la falla de autenticación ausente en Langflow, una herramienta de código abierto para crear aplicaciones de IA y flujos de trabajo de agentes. El fallo permite que cualquiera que pueda alcanzar el servidor ejecute su propio código Python en él, sin necesidad de iniciar sesión. Las cajas de Langflow son un objetivo tentador porque a menudo están expuestas a internet y contienen claves API y credenciales en la nube de los servicios a los que se conectan. El fallo fue corregido en Langflow 1.3.0 y añadido a la lista de Vulnerabilidades Explotadas Conocidas de la CISA en mayo de 2025, pero muchos servidores nunca fueron actualizados. Una vez dentro, el agente trabajó rápido y limpió sus rastros. Mapeó la máquina y luego la rastreó en busca de secretos: claves API para servicios de IA (OpenAI, Anthropic, DeepSeek, Gemini), credenciales en la nube (proveedores chinos como Alibaba y Tencent junto con AWS, Google y Azure), claves de billeteras cripto y accesos a bases de datos. Asaltó un servidor de almacenamiento MinIO utilizando su inicio de sesión predeterminado de fábrica (minioadmin:minioadmin), que nunca había sido cambiado. También estableció una vía de retorno, añadiendo una tarea programada que contactaba al servidor del atacante cada 30 minutos. Luego pivotó hacia su objetivo real: un servidor independiente orientado a internet que ejecutaba una base de datos MySQL y Alibaba's Nacos, un directorio de servicios y configuraciones común en entornos de microservicios. El agente inició sesión en la base de datos como root. Sysdig dice que nunca vio de dónde vinieron esas credenciales de root, por lo que su origen es desconocido. Desde allí, tomó el control de Nacos utilizando una omisión de autenticación de 2021 (CVE-2021-29441) y una clave de firma predeterminada que Nacos ha distribuido sin cambios desde 2020, plantando luego su propia cuenta de administrador.

La nota de rescate sin clave

El agente cifró las 1.342 configuraciones de Nacos, eliminó las tablas originales y dejó una nota de rescate exigiendo Bitcoin con un contacto de Proton Mail. Generó una clave de cifrado aleatoria, la imprimió en pantalla una vez y nunca la guardó ni la envió a ninguna parte. No hay ninguna clave para entregar. La víctima no puede recuperar los datos aunque pague. (La nota afirma usar AES-256; Sysdig observa que la herramienta utilizada usa por defecto el más débil AES-128, aunque el resultado es el mismo). Fue más allá, eliminando bases de datos completas y dejando un comentario en su propio código afirmando que ya había copiado los datos en otro lugar. Sysdig dice que eso es el agente hablando, no algo que el equipo haya podido confirmar, y no encontraron evidencia de que los datos fueran realmente extraídos.

Cómo saben los expertos que una IA estaba al mando

La señal más clara fue el código mismo. Las cargas útiles del ataque estaban llenas de notas en inglés sencillo explicando por qué se tomaba cada paso, un comentario continuo que un hacker humano nunca se molesta en escribir, pero que un modelo produce por defecto. El agente también corrigió sus propios errores a velocidad de máquina. En un caso, pasó de un inicio de sesión fallido a una corrección correcta de varios pasos en 31 segundos, diagnosticando la causa exacta en lugar de reintentar ciegamente. Sysdig contó más de 600 cargas útiles separadas y deliberadas durante la operación. Un detalle sigue siendo un rompecabezas. La dirección de Bitcoin en la nota de rescate es la dirección de ejemplo exacta que aparece en toda la documentación para desarrolladores de Bitcoin, lo que significa que aparece en todo el texto con el que se entrenan estos modelos. También es una billetera real y activa con un largo historial de pagos. Sysdig no puede determinar si el modelo simplemente pegó una dirección familiar de su memoria o si el operador utilizó deliberadamente una billetera real que coincide con el famoso ejemplo.

Parte de un cambio más grande

JADEPUFFER es el paso más reciente en un año de rápido movimiento para los ataques impulsados por IA. En agosto de 2025, investigadores de ESET señalaron PromptLock, presentado como el primer ransomware impulsado por IA; más tarde resultó ser un prototipo de laboratorio de la NYU llamado Ransomware 3.0, no un ataque real. Alrededor del mismo tiempo, Anthropic informó de una campaña de extorsión real que utilizó su herramienta Claude Code para atacar al menos a 17 organizaciones, con exigencias superiores a 500.000 dólares, aunque en ese caso todavía hubo un humano al mando. En noviembre de 2025, Anthropic reveló lo que llamó el primer ciberataque mayormente autónomo, un esfuerzo de espionaje vinculado al estado chino que hizo que Claude escribiera exploits y robara datos con poca ayuda humana. Esa operación también tuvo a la IA inventando credenciales que no existían, posiblemente el mismo tipo de alucinación detrás de la extraña dirección de Bitcoin de JADEPUFFER. Las piezas de un ataque serio se están automatizando y el software antiguo y sin parches es el primer objetivo fácil. Los agentes hacen que el escaneo de todo el catálogo de errores conocidos sea casi gratuito, por lo que los servidores descuidados quedan más expuestos, no menos.

Qué deben hacer los defensores

Las soluciones son conocidas. Parchea Langflow y nunca expongas sus puntos de acceso de ejecución de código a internet. No ejecutes herramientas de IA con claves de nube y credenciales de proveedor situadas en su entorno; guarda los secretos en un gestor adecuado, lejos de cualquier cosa que la web pueda alcanzar. Refuerza Nacos: cambia la clave de firma predeterminada, mantenlo fuera de la internet pública y nunca permitas que se conecte a su base de datos como root. Nunca expongas la cuenta de administrador de una base de datos a internet y bloquea el tráfico saliente para que un servidor hackeado no pueda comunicarse con el atacante. Debido a que los atacantes ahora pueden convertir un aviso de seguridad reciente en arma en cuestión de horas, Sysdig sostiene que vigilar el comportamiento malicioso en tiempo de ejecución importa más que correr para parchear. Los indicadores publicados por Sysdig para esta operación incluyen:

* Punto de entrada: CVE-2025-3248 (ejecución remota de código no autenticada en Langflow)
* Comando y control: 45.131.66[.]106, con un beacon a hxxp://45.131.66[.]106:4444/beacon cada 30 minutos
* Servidor de etapa pretendido: 64.20.53[.]230
* Dirección de Bitcoin del rescate: 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy; contacto e78393397[@]proton[.]me; tabla de rescate llamada README_RANSOM Sysdig califica a JADEPUFFER como una señal de advertencia más que como una crisis. Ninguno de los movimientos individuales fue astuto o nuevo. Lo nuevo es que un modelo los unió en un ataque completo contra un servidor descuidado, por su cuenta. Espera más de lo mismo a medida que las herramientas de agentes maduren, y trata cualquier servidor expuesto, almacenamiento de configuración o inicio de sesión de administrador de base de datos como algo que una máquina sondeará, no solo una persona.

Fuente:
THN

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.