JADEPUFFER:データベースを自動で恐喝するエージェント型ランサムウェア
Sysdig TRTは、LLM(大規模言語モデル)によりエンドツーエンドで駆動された初の完結型恐喝オペレーション「JADEPUFFER」を観測しました。
攻撃者はAIフレームワークLangflowの未認証RCE脆弱性(CVE-2025-3248)を悪用して初期アクセスを獲得。ホストからクラウドやAI等の認証情報を窃取し、最終標的である本番環境のMySQLデータベースへラテラルムーブメントを敢行しました。
最大の特徴はLLMによる自律的な適応力です。自然言語での自己解説や標的の優先順位付けがコード内に含まれ、エラー発生時にはわずか31秒で根本原因を診断・修正して再試行しました。その後、コンテナエスケープの調査を経て、設定項目をランダムな鍵で暗号化し身代金を要求、データベースを破壊しました。本事例は、攻撃の自動化によりランサムウェアの技術的・コスト的障壁が劇的に低下したことを示しています。
詳細はこちら