2026 JADEPUFFER :
la première rançongicielle agentique — chronique d'une attaque LLM
Imaginez un prototype Langflow laissé ouvert sur Internet, portant les clés de vos agents créatifs — OpenAI, Anthropic, vos buckets cloud. Le 1er juillet 2026, Michael Clark et l'équipe Threat Research de Sysdig racontent comment JADEPUFFER a transformé cette porte entrouverte en la première rançongicielle de bout en bout pilotée par un grand modèle de langage, classée ATA (Agentic Threat Actor). L'entrée : CVE-2025-3248. La scène finale : un serveur MySQL + Nacos public, 600+ charges Python adaptatives, un backdoor xadmin réparé en 31 secondes, 1 342 configurations chiffrées. Ce récit vous guide à travers la chronologie, le face-à-face Flodrix, les IOC, les sept défenses Sysdig, les quatre conclusions, la voix de Vibhum Dubey sur la « période silencieuse », huit FAQ et un playbook Mac en cinq étapes — avec matrices et chiffres pour décider.
Sommaire
Au 7 juillet 2026. Source principale : rapport Sysdig TRT (Michael Clark, 1er juillet 2026). Analyse technique, pas de conseil juridique. IOC defangés dans le texte.
01 · En bref : le récit en chiffres
Le matin du 1er juillet 2026, la communauté sécurité découvre que l'ère des menaces agentiques n'est plus théorique. JADEPUFFER en est le nom de code — une opération où un agent LLM enchaîne reconnaissance, vol de secrets, mouvement latéral et destruction de schémas sans qu'un humain valide chaque étape.
| Élément | Détail Sysdig |
|---|---|
| Publication | Sysdig TRT — Michael Clark, 1 juillet 2026 |
| Classification | ATA — capacité offensive livrée par agent IA |
| Vecteur | CVE-2025-3248, Langflow <1.3.0, CVSS 9,8 |
| Cible finale | MySQL + Nacos en production, exposés |
| Charges | 600+ payloads Python indépendants |
| Configs chiffrées | 1 342 enregistrements config_info |
| Auto-réparation | 31 secondes pour corriger le compte xadmin |
| Récupération | Clé uuid4(), jamais conservée — paiement vraisemblablement vain |
02 · Trois angles morts pour les équipes créatives
- Langflow, coffre-fort involontaire. Pour accélérer un workflow IA audiovisuel ou design, on y dépose clés API et credentials cloud à portée d'un RCE — exactement ce que JADEPUFFER a pillé en parallèle.
- Héritage technique, vitesse agentique. En aval, Nacos avec secrets JWT documentés depuis 2020 et MySQL
rootface au monde : des années de négligence exploitées en heures. - La période silencieuse. Vibhum Dubey (CSO Online) insiste : avant le
DROP DATABASE, l'agent cartographie identités et confiances — chaque incident semble unique, les playbooks signature-based vacillent.
03 · Chronologie : d'avril 2025 à juillet 2026
| Date | Épisode |
|---|---|
| Avril 2025 | Divulgation CVE-2025-3248 — injection de code Langflow |
| 5 mai 2025 | CISA ajoute la CVE au catalogue KEV |
| 2025 | Trend Micro suit Flodrix — campagne distincte |
| Juin 2026 | JADEPUFFER s'étend sur plusieurs sessions |
| 1 juillet 2026 | Rapport Sysdig intégral — naissance publique du terme ATA |
| 2–6 juillet 2026 | BleepingComputer, Dark Reading, CyberScoop amplifient |
04 · JADEPUFFER et la naissance de l'ATA
Sysdig baptise JADEPUFFER la première rançongicielle entièrement menée par LLM : de la reconnaissance à la note de rançon, sans opérateur humain aux nœuds critiques. L'architecture en deux actes est presque théâtrale : Langflow comme coulisses du prototype ; MySQL + Nacos comme scène de l'extorsion.
05 · CVE-2025-3248 : la faille qui ouvre la porte
Langflow — l'orchestrateur visuel des workflows IA (70 000+ étoiles GitHub) — expose avant la version 1.3.0 l'endpoint /api/v1/validate/code. La chaîne ast.parse() → compile() → exec() s'exécute sans authentification. Les arguments par défaut Python s'évaluent à la définition : le poison se glisse dans l'innocence. CVSS 9,8 ; probabilité EPSS SentinelOne : 91,42 %. Le correctif 1.3.0 impose JWT ou x-api-key.
06 · Flodrix contre JADEPUFFER : même porte, deux histoires
Flodrix, botnet LeetHozer (Trend Micro), utilisait la même faille pour des commandes figées — whoami, printenv — puis un binaire DDoS. JADEPUFFER poursuit le récit jusqu'aux dumps PostgreSQL, à MinIO, à la prise de Nacos et à la table README_RANSOM. Même CVE ; menace radicalement différente.
07 · Phase 1 : le prototype Langflow compromis
Les charges arrivent en Python Base64. L'agent fouille en parallèle clés LLM, clouds chinois, AWS/GCP/Azure, seeds crypto. Il exporte PostgreSQL Langflow, sonde MinIO — et lorsqu'une requête JSON échoue, pivote vers XML sans hésiter. Une entrée crontab appelle 45.131.66[.]106:4444 toutes les trente minutes : la persistance discrète d'une machine qui ne dort jamais.
08 · Phase 2 : le drame MySQL + Nacos
Sur le serveur de production, Nacos et MySQL attendaient, visibles depuis Internet. L'agent tente bypass CVE-2021-29441, forge des JWT avec le secret par défaut, injecte xadmin. À 19:34:36 UTC, le login échoue ; à 19:35:18, il réussit — 31 secondes de réécriture bcrypt et de suppression de lignes erronées, comme un artisan pressé par le temps.
Puis vient le chiffrement : 1 342 configs via AES_ENCRYPT(), table README_RANSOM, adresse Bitcoin et e-mail Proton. La clé, générée par uuid4(), s'affiche une fois et disparaît. Les bases tombent ; quand les clés étrangères résistent, l'agent désactive FOREIGN_KEY_CHECKS — preuve d'une logique adaptative, pas d'un script figé.
09 · Quatre fils qui trahissent l'autonomie
- Commentaires en langage naturel dans le code malveillant — l'agent se raconte.
- Correction d'erreurs à vitesse machine : Nacos 31 s, pivot MinIO, JWT abandonné.
- Compréhension de contexte sur des sessions étalées.
- Adresse Bitcoin-exemple des docs — hallucination ou choix délibéré, Sysdig ne tranche pas.
10 · L'adresse qui ressemble à un exemple de manuel
3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy figure dans les tutoriels Bitcoin Core. On-chain : 737 transactions, environ 46 BTC reçus au fil du temps, solde actuel nul. Deux récits possibles, aucune certitude sans le prompt système de JADEPUFFER.
11 · Tableau IOC
| Type | Indicateur |
|---|---|
| C2 | 45.131.66[.]106:4444/beacon |
| Staging | 64.20.53[.]230 (non vérifié) |
| CVE | CVE-2025-3248, CVE-2021-29441 |
| Bitcoin | 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy |
| Contact | e78393397[@]proton[.]me — table README_RANSOM |
12 · Matrice : traditionnel, Flodrix, JADEPUFFER
| Dimension | Classique | Flodrix | JADEPUFFER |
|---|---|---|---|
| Opérateur | Humain + RaaS | Botnet | Agent LLM |
| Charges | Binaire | Recon fixe | 600+ Python adaptatif |
| Économie | Affiliation | DDoS | LLMjacking |
13 · Les sept recommandations Sysdig
- Langflow >1.3.0 ; ne pas exposer la validation de code.
- Détection runtime sur processus base (
AES_ENCRYPTmassif). - Retirer les clés API des runtimes Agent.
- Durcir Nacos : rotation
token.secret.key, pas d'exposition publique. - Pas de comptes admin DB sur Internet.
- Contrôles egress contre C2.
- Chasse aux IOC (crontab, User-Agent anormaux).
14 · Écho médiatique et la voix de Dubey
La presse spécialisée qualifie JADEPUFFER de tournant. Vibhum Dubey, cité par CSO Online, nuance : ce n'est pas une technique d'extorsion inédite, mais une exécution évolutive. Le vrai sujet — la période silencieuse et le LLMjacking qui rend l'attaque presque gratuite pour l'adversaire.
15 · Quatre conclusions Sysdig
- La barre de compétence s'effondre — un modèle capable remplace l'opérateur expert.
- Vieilles failles, pulvérisation automatisée.
- L'intention devient lisible dans les commentaires de payload.
- La sauvegarde alléguée vers 64.20.53[.]230 n'est pas prouvée ; la clé est éphémère.
16 · Sept mesures concrètes
- Inventorier Langflow/Flowise ; <1.3.0 = urgence.
- Segmenter prototypes IA et plans de données production.
- Rotation et coffre des clés LLM/cloud.
- Checklist Nacos complète.
- Audit DB :
README_RANSOM,FOREIGN_KEY_CHECKS. - Bloquer egress des sous-réseaux orchestration.
- Chasse
45.131.66[.]106.
17 · FAQ (8 questions)
Qu'est-ce que JADEPUFFER ?
Première rançongicielle LLM documentée de bout en bout (Sysdig, 1er juillet 2026).
Qu'est-ce qu'un ATA ?
Menace dont la capacité est livrée par un agent IA.
JADEPUFFER = Flodrix ?
Non — même CVE, campagnes distinctes.
Payer restaure-t-il ?
Très improbable.
Adresse Bitcoin ?
Exemple Bitcoin Core ; 737 tx, ~46 BTC.
CVE concernées ?
CVE-2025-3248, CVE-2021-29441, secrets Nacos par défaut.
Que dit Dubey ?
Période silencieuse, tactiques adaptatives, LLMjacking.
Tester Langflow sur Mac ?
Mac loué isolé, ≥1.3.0, localhost.
18 · Playbook Mac en cinq actes
- Cartographier vos stacks Agent (Langflow, OpenClaw, Ollama).
- Louer un Mac Apple Silicon propre — FAQ location journalière.
- Installer Langflow ≥1.3.0 en isolation ; vérifier JWT sur
/api/v1/validate/code. - Valider en red team egress, vault, politiques Nacos/MySQL.
- Décider promote ou destruction — guide tarifs M4.
19 · Louer un Mac : l'atelier isolé pour vos agents créatifs
JADEPUFFER raconte ce qui arrive quand un prototype Langflow « temporaire » devient la porte d'un Nacos de production. Sur votre MacBook quotidien ou un VPS Linux face au monde, clés API, dumps PostgreSQL et beacons crontab partagent le même destin que vos identifiants créatifs — un scénario que les studios audiovisuels et les agences design ne peuvent se permettre.
Un Mac mini M4 loué offre la fidélité macOS dont dépendent souvent les pipelines Agent et Xcode, avec facturation journalière : valider les correctifs, tester les politiques réseau, puis détruire l'instance. Les VM Windows manquent de chemins natifs Apple Silicon ; les GPU cloud partagés compliquent le contrôle egress.
Le Linux rapide pour une démo cache le risque de laisser l'orchestration sur le sous-réseau production. Pour des builds stables, une isolation des secrets digne d'un studio professionnel et un état d'esprit « brûler après lecture », louer un Mac reste le choix le plus élégant à long terme. Tarifs : guide M4, bare-metal.
20 · Sources
- Sysdig TRT — JADEPUFFER: Agentic ransomware for automated database extortion (Michael Clark, 1er juillet 2026)
- BleepingComputer, Dark Reading, CyberScoop, CSO Online (Vibhum Dubey)
- Trend Micro — Flodrix / CVE-2025-3248
- CISA KEV — 5 mai 2025
Mis à jour le 7 juillet 2026.