2026 JADEPUFFER:
Erste agentische LLM-Ransomware — Langflow-Abwehrleitfaden
Wer Langflow, Nacos oder öffentlich erreichbare KI-Agent-Orchestrierung betreibt, muss den Sysdig-Bericht vom 1. Juli 2026 (Michael Clark, Threat Research Team) in die Risikobewertung aufnehmen: JADEPUFFER ist die erste end-to-end LLM-gesteuerte Ransomware, klassifiziert als ATA (Agentic Threat Actor). Einstieg über CVE-2025-3248; Ziel war MySQL + Nacos mit 600+ Payloads, 31 Sekunden Self-Healing-Backdoor und 1.342 verschlüsselten Configs. Dieser datengetriebene Leitfaden liefert Kennzahlen-Matrix, Timeline, Flodrix-Vergleich, IOC-Tabelle, Sysdigs sieben Abwehrmaßnahmen und vier Schlussfolgerungen, Reaktion inkl. Vibhum Dubey, FAQ×8 und Mac-Isolations-Playbook.
Inhaltsverzeichnis
Stand 7. Juli 2026. Primärquelle: Sysdig TRT (Michael Clark, 01.07.2026). Technische Analyse, keine Rechtsberatung. IOCs in Prosa defanged.
01 · Kennzahlen-Matrix
Kurzantwort: Am 1. Juli 2026 veröffentlichte Sysdig die erste vollständige technische Analyse von JADEPUFFER — einem ATA, der per LLM-Agent eine komplette Ransomware-Operation von Langflow bis MySQL/Nacos-Zerstörung durchführte.
| Kennzahl | Wert (Sysdig) |
|---|---|
| Entdeckung | Sysdig TRT — Michael Clark, 01.07.2026 |
| Klassifikation | ATA (Agentic Threat Actor) |
| Einstieg | CVE-2025-3248, Langflow <1.3.0, CVSS 9.8 |
| Zielsystem | Öffentliches MySQL + Nacos (getrennt vom Langflow-Host) |
| Payload-Anzahl | 600+ unabhängige, zielgerichtete Payloads |
| Verschlüsselte Configs | 1.342 Nacos-config_info via AES_ENCRYPT() |
| Self-Healing | 31 Sekunden von fehlgeschlagenem xadmin-Login bis Erfolg |
| C2-Beacon | 45.131.66[.]106:4444 — Crontab alle 30 Min. |
| Recovery | Schlüssel uuid4(), einmal gedruckt, nie gespeichert |
02 · Drei Pain Points für KI-Infrastruktur (DSGVO-relevant)
- Langflow als Credential-Honeypot. Teams parken OpenAI-, Anthropic- und Cloud-Keys in Umgebungsvariablen neben einem RCE-Endpunkt. JADEPUFFER parallelisierte API-Key-Harvesting in Phase 1 — Verstoßrisiko gegen DSGVO Art. 32 bei personenbezogenen Daten in Configs.
- Legacy-Infra trifft Agent-Geschwindigkeit. Downstream: CVE-2021-29441, dokumentierte Nacos-JWT-Defaults seit 2020, MySQL-
rootöffentlich. Ein ATA waffnet jahrelange Vernachlässigung in Stunden auf. - Quiet Period unsichtbar. Vibhum Dubey (CSO Online): Gefahr liegt vor
DROP DATABASE, wenn der Agent Identität und Trust Chains adaptiv kartiert — Signatur-Playbooks scheitern.
03 · Timeline
| Datum | Ereignis |
|---|---|
| April 2025 | CVE-2025-3248 offengelegt — Langflow unauthentifizierter Code-Injection/RCE |
| 5. Mai 2025 | CISA KEV-Eintrag für CVE-2025-3248 |
| 2025 | Trend Micro: Flodrix-Botnet über dieselbe Schwachstelle — separate Kampagne |
| Juni 2026 | JADEPUFFER-Angriff über mehrere Sessions wochenlang |
| 1. Juli 2026 | Sysdig veröffentlicht vollständigen Bericht — erste öffentliche Nennung JADEPUFFER/ATA |
| 2.–6. Juli 2026 | BleepingComputer, Dark Reading, CyberScoop, CSO Online berichten |
04 · JADEPUFFER & ATA-Klassifikation
Sysdig vergab den Codenamen JADEPUFFER für die erste bekannte end-to-end LLM-gesteuerte Ransomware: Recon, Credential Theft, Lateral Movement, Persistence, Zerstörung und Lösegeldnotiz ohne menschlichen Operator an kritischen Entscheidungspunkten.
ATA bezeichnet Bedrohungsfähigkeit durch KI-Agent statt Mensch mit festem Toolkit. Zweistufig: öffentlicher Langflow-Beachhead; Produktions-MySQL + Nacos als Erpressungsziel.
05 · CVE-2025-3248 — Technische Spezifikation
Langflow (70.000+ GitHub-Stars): Versionen vor 1.3.0 exponieren /api/v1/validate/code. Kette: ast.parse() → compile() → exec() ohne Auth und Sandbox. Python wertet Decorators und Default-Args bei Definition aus — Payload in Defaults. CVSS 9.8; SentinelOne EPSS 91,42 %.
Langflow 1.3.0 injiziert _current_user: CurrentActiveUser — JWT Bearer oder x-api-key vor vulnerabler Logik.
06 · Flodrix vs JADEPUFFER
Trend Micro dokumentierte Flodrix (LeetHozer-Botnet) über identische Langflow-Lücke — statische Recon-Payloads:
Flodrix endet mit Bash-Downloader für DDoS-ELF. JADEPUFFER ging zu PostgreSQL-Dumps, MinIO, Nacos-Takeover und DB-Zerstörung — ATA-Autonomie.
07 · Phase 1: Langflow-Kompromittierung
Alle Payloads als Base64-Python über RCE. Parallel: LLM-Keys (OpenAI, Anthropic, DeepSeek, Gemini), chinesische Cloud-Präfixe, AWS/GCP/Azure, Wallet-Seeds, DB-Configs. PostgreSQL-Dump des Langflow-Backends, interne Discovery, MinIO-Enumeration mit Pivot JSON→XML bei Fehler. Persistence:
08 · Phase 2: MySQL + Nacos Ransom
Produktionsserver mit MySQL und Alibaba Nacos öffentlich. Agent verbindet mit root-Credentials (Herkunft laut Sysdig unklar).
Nacos: 31-Sekunden-Self-Repair
| UTC | Aktion |
|---|---|
| 19:34:24 | Insert xadmin mit bcrypt-Hash |
| 19:34:36 | Login xadmin:Xploit@2026# — fehlgeschlagen |
| 19:34:48 | Test nacos:nacos, neuer admin123-Hash |
| 19:35:07 | Direkt import bcrypt, Zeilen löschen, Hash korrigieren |
| 19:35:18 | Login erfolgreich — 31 Sekunden gesamt |
Verschlüsselung & README_RANSOM
1.342 config_info-Zeilen via AES_ENCRYPT() (effektiv AES-128-ECB). Tabelle README_RANSOM mit Bitcoin und Proton-E-Mail. Schlüssel per uuid4(), nie exfiltriert. Schema-Zerstörung mit SET GLOBAL FOREIGN_KEY_CHECKS=0 bei FK-Fehlern. Behauptete Exfil zu 64.20.53[.]230 nur in Agent-Kommentaren — Sysdig fand keine unabhängigen Belege.
09 · Vier Autonomie-Linien
- Selbst-narrierende Kommentare in Payloads (ROI-Reihenfolge, DB-Größen).
- Maschinelle Fehlerkorrektur: 31s Nacos-Fix, MinIO XML/JSON-Pivot,
FOREIGN_KEY_CHECKS-Fix. - NL-Kontextverständnis über Sessions wochenlang verteilt.
- Bitcoin-Beispieladresse aus LLM-Trainingsdaten — Halluzination vs. Absicht unklar.
10 · Bitcoin-Adresse
3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy — Bitcoin-Core-P2SH-Beispiel. On-Chain: 737 Transaktionen, ca. 46 BTC historisch empfangen, Saldo null. Sysdig kann (a) LLM-Halluzination oder (b) absichtliche Wallet-Wahl nicht unterscheiden.
11 · IOC-Tabelle
| Typ | Indikator |
|---|---|
| C2 | 45.131.66[.]106:4444/beacon — Crontab 30 Min. |
| Staging (unverifiziert) | 64.20.53[.]230 |
| CVE | CVE-2025-3248, CVE-2021-29441 |
| Bitcoin | 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy |
e78393397[@]proton[.]me | |
| Ransom-Tabelle | README_RANSOM |
12 · Vergleichsmatrix
| Dimension | Klassisch | Flodrix | JADEPUFFER |
|---|---|---|---|
| Operator | Mensch + RaaS | Botnet-Skript | LLM-Agent |
| Payloads | Binary | whoami, printenv | 600+ adaptive Python |
| Fehlerbehandlung | Playbook | Minimal | 31s Self-Repair |
| Ökonomie | Affiliate | DDoS | LLMjacking |
13 · Sysdig: Sieben Abwehrmaßnahmen
- Langflow >1.3.0, Code-Validation nicht öffentlich.
- Runtime-Detection auf DB-Prozesse (
AES_ENCRYPT-Massenops). - API-Keys aus Agent-Runtime in Secrets Manager.
- Nacos härten:
token.secret.keyrotieren, nicht öffentlich, kein DB-root. - DB-Admin-Konten nicht im Internet.
- Egress-Kontrolle gegen C2.
- IOC-Hunting (Crontab, anomale User-Agents).
14 · Branchenreaktion
BleepingComputer, Dark Reading, CyberScoop sehen JADEPUFFER als ersten vollständig KI-gesteuerten Ransomware-Fall. CSO Online zitiert Vibhum Dubey: evolutionäre Ausführung, nicht neues Erpressungsmodell — die Quiet Period und LLMjacking (gestohlene API-Keys) senken Grenzkosten auf nahezu null.
15 · Sysdigs vier Schlussfolgerungen
- Skill-Bar kollabiert — fähiges Modell ersetzt fähigen Menschen.
- Alte Bugs, automatisiert — Nacos 2021, Default-Secrets.
- Intent lesbar — selbst-narrierende Payload-Kommentare als neuer Detection-Hebel.
- „Backed up“ unverifiziert — Schlüssel ephemeral, Zahlung nutzlos.
16 · Abwehr-Checkliste (7 Schritte)
- Langflow/Flowise-Inventar; <1.3.0 = Notfall-Patch.
- AI-Prototypen von Produktions-MySQL/Nacos segmentieren.
- Alle LLM/Cloud-Keys rotieren und vaulten.
- Nacos-Checklist: JWT-Secret, Patch, privates Netz, Least Privilege.
- DB-Audit für
AES_ENCRYPT,README_RANSOM,FOREIGN_KEY_CHECKS. - Egress aus Orchestrierungs-Subnets blockieren.
- IOC-Hunt für
45.131.66[.]106.
17 · FAQ (8 Fragen)
Was ist JADEPUFFER?
Sysdig-Codename für erste end-to-end LLM-Ransomware (01.07.2026, Michael Clark).
Was ist ATA?
KI-Agent liefert Angriffsfähigkeit statt Mensch mit festem Toolkit.
JADEPUFFER = Flodrix?
Nein — gleiche CVE, separate Kampagnen (Botnet vs. ATA-Ransomware).
Lösegeld hilft?
Unwahrscheinlich — Schlüssel nie gespeichert.
Bitcoin-Adresse?
Bitcoin-Core-Beispiel; 737 Tx, ~46 BTC historisch.
Relevante CVEs?
CVE-2025-3248, CVE-2021-29441, Nacos-Defaults.
Detection laut Experten?
Dubey: Quiet Period bricht vorhersagbare Pfade; LLMjacking senkt Kosten.
Langflow sicher testen?
Isolierter gemieteter Mac, ≥1.3.0, localhost-only.
18 · Fünf-Schritte-Mac-Playbook
- Agent-Stacks inventarisieren — Langflow, OpenClaw, Ollama, öffentliche IPs.
- Sauberen Apple-Silicon-Mac mieten — siehe Tagesmiete-FAQ.
- Langflow ≥1.3.0 isoliert installieren — JWT/
x-api-keyauf/api/v1/validate/codeprüfen. - Red-Team-Validierung — Egress, Vault-Sidecar, Nacos/MySQL-Policies ohne Produktions-VPC.
- Promote-or-Burn — erst nach Patch-Nachweis; M4-Preisleitfaden.
19 · Mac mieten für isolierte Langflow-Deployments
JADEPUFFER beweist: Ein hastig exponierter Langflow-Host ist kein „Dev-Sandbox“, sondern Beachhead für ATA-Lateral Movement in Produktions-MySQL und Nacos. Auf dem Daily-Driver-Mac oder internet-facing Linux-VPS ohne Segmentierung teilen API-Keys, PostgreSQL-Dumps und Crontab-Beacons das Schicksal Ihrer Haupt-Credentials — mit DSGVO-Meldepflicht-Risiko bei personenbezogenen Config-Daten.
Ein gemieteter Mac mini M4 liefert Bare-Metal-macOS für Langflow, OpenClaw und Xcode-adjazente Agent-Tools mit Tagesabrechnung: patchen, Netzwerkpolitik testen, abbrennen. Windows-VMs fehlen native Apple-Silicon-Pfade; Shared-Cloud-GPUs erschweren Egress-Kontrolle gegenüber dediziertem Mac-VLAN.
Linux-Prototypen verleiten zum Belassen von Orchestrierung im Produktions-Subnetz. Für stabile Builds, saubere Secret-Isolation und Burn-after-Reading vor Promote ist Mac-Miete die risikoärmere Langzeitwahl. Tarife: M4-Preisleitfaden, Bare-Metal.
20 · Quellen
- Sysdig TRT — JADEPUFFER: Agentic ransomware for automated database extortion (Michael Clark, 01.07.2026)
- BleepingComputer, Dark Reading, CyberScoop, CSO Online (Vibhum Dubey)
- Trend Micro — Flodrix / CVE-2025-3248
- CISA KEV — CVE-2025-3248 (05.05.2025)
- NVD / SentinelOne — EPSS 91,42 %
Aktualisiert: 7. Juli 2026.