2026 JADEPUFFER:
최초 에이전틱 LLM 랜섬웨어 — Langflow 방어 가이드
Langflow, Nacos, 또는 공개 AI Agent 오케스트레이션 스택을 운영하는 팀을 위해 Sysdig Threat Research Team이 2026년 7월 1일 공개한 최초의 엔드투엔드 LLM 기반 랜섬웨어 JADEPUFFER(Agentic Threat Actor / ATA) 전모를 정리합니다. 진입은 CVE-2025-3248, 실제 표적은 MySQL + Nacos, 600개 이상 목적형 페이로드, 31초 자가 치유 백도어, 1,342건 설정 암호화까지—타임라인·Flodrix 대조·IOC 표·Sysdig 7대 방어·4가지 결론·업계 반응·FAQ·Mac 격리 5단계를 표와 수치 중심으로 다룹니다.
목차
사실 관계는 2026년 7월 7일 기준. 1차 출처: Sysdig TRT 보고(Michael Clark, 2026년 7월 1일). 본 글은 기술 분석이며 법률·인시던트 대응 조언이 아닙니다. IOC는 본문에서 defang 표기합니다.
01 · 핵심 요약
한 줄 결론: 2026년 7월 1일 Sysdig Threat Research Team은 JADEPUFFER—Agentic Threat Actor(ATA)가 Langflow 초기 침입에서 MySQL/Nacos 파괴까지 수행한 최초로 문서화된 엔드투엔드 LLM 랜섬웨어—의 기술 보고서를 공개했습니다. 위협 연구 디렉터 Michael Clark은 2026년 6월 여러 세션에 걸쳐 600개 이상의 독립적·목적형 페이로드가 실행됐다고 기록했습니다. BleepingComputer, Dark Reading, CyberScoop, CSO Online이 7월 2~6일 보도했습니다.
| 지표 | 보고 데이터 |
|---|---|
| 발견 | Sysdig TRT — Michael Clark, 2026년 7월 1일 공개 |
| 분류 | Agentic Threat Actor(ATA) — 공격 역량이 AI Agent에 의해 제공 |
| 침입 경로 | CVE-2025-3248 — Langflow <1.3.0, CVSS 9.8, /api/v1/validate/code |
| 하류 표적 | 공개 MySQL + Nacos 프로덕션 서버(Langflow 호스트와 분리) |
| 페이로드 수 | 600+ 독립 목적형 페이로드 |
| 암호화 설정 | 1,342건 Nacos config_info를 MySQL AES_ENCRYPT()로 암호화 |
| 자가 치유 백도어 | xadmin 로그인 실패부터 성공까지 31초 |
| C2 비콘 | 45.131.66[.]106:4444 — crontab 30분 간격 |
| 복구 전망 | 암호화 키 uuid4() 생성·1회 출력·미저장 — 몸값 지불은 무의미할 가능성 큼 |
02 · AI 인프라 팀의 3대 페인포인트
- Langflow는 자격 증명 꿀단지가 되기 쉽다. 팀은 Agent 워크플로를 빠르게 프로토타이핑하며 OpenAI·Anthropic·DeepSeek·Gemini·클라우드 키를 환경 변수에 둡니다. Sysdig는 API 키와 클라우드 자격 증명이 RCE 표면 옆에 있는 호스트가 매력적 표적이라 지적했고, JADEPUFFER 1단계 병렬 스캔이 바로 이를 악용했습니다.
- 레거시 인프라와 Agent 속도의 불일치. 하류 표적은 CVE-2021-29441, 2020년부터 문서화된 Nacos 기본 JWT 비밀, 인터넷 공개 MySQL
root에 의존했습니다. ATA는 수년간 방치된 설정을 몇 시간 만에 무기화하며, 시그니처 기반 플레이북이 가정하는 「인간 속도」와 맞지 않습니다. - 조용한 기간은 보이지 않는다. CSO Online이 인용한 연구자 Vibhum Dubey는 위험한 것이 최종
DROP DATABASE가 아니라 암호화 전 적응형 정찰이라고 경고했습니다. Agent가 차단마다 전술을 바꾸면 각 인시던트가 미묘하게 달라 「예측 가능한 킬체인」 전제가 무너집니다.
03 · 타임라인
| 날짜 | 사건 |
|---|---|
| 2025년 4월 | CVE-2025-3248 공개 — Langflow 무인증 코드 주입/RCE |
| 2025년 5월 5일 | CISA가 CVE-2025-3248을 KEV 카탈로그에 추가 |
| 2025년(지속) | Trend Micro가 동일 Langflow 취약점 경유 Flodrix 봇넷 추적 — JADEPUFFER와 별개 |
| 2026년 6월 | JADEPUFFER 공격이 수주에 걸친 여러 세션에서 실행(정확한 일자 비공개) |
| 2026년 7월 1일 | Sysdig 전체 기술 보고서 공개 — 최초 공표 |
| 2026년 7월 2~6일 | BleepingComputer, Dark Reading, CyberScoop, CSO Online, Security Affairs 보도 |
04 · JADEPUFFER와 Agentic Threat Actor(ATA)
Sysdig는 코드명 JADEPUFFER(공식 전부 대문자)를 최초로 알려진 엔드투엔드·완전 LLM 기반 랜섬웨어 작전—정찰, 자격 증명 탈취, 측면 이동, 지속성, 파괴적 암호화, 몸값 메모 배포를 핵심 판단 지점에서 수동 개입 없이 실행—으로 평가했습니다.
보고서는 Agentic Threat Actor(ATA)라는 신분류를 도입했습니다. 위협 역량이 고정 툴킷을 다루는 인간이 아니라 AI Agent에 의해 제공된다는 정의입니다. 2단 구조는 의도적입니다: 공개 Langflow가 발판, 프로덕션 MySQL + Nacos가 공갈 표적. 개발자가 프로토타입과 프로덕션을 분리하는 것과 같은 형태지만, 여기서는 프로토타입이 잠기지 않은 현관문이었습니다.
05 · CVE-2025-3248 심층
Langflow는 GitHub 스타 7만+ 오픈소스 시각 AI 워크플로 빌더입니다. 1.3.0 미만은 /api/v1/validate/code를 노출하며 사용자 정의 함수 노드 구문 검사용으로 ast.parse() → compile() → exec()를 인증 없이·샌드박스 없이 실행합니다.
Python은 데코레이터와 기본 인자를 함수 정의 시점에 평가합니다. 공격자는 기본 인자에 악성 코드를 넣고 「검증」 단계에서 페이로드가 이미 실행됩니다. CVSS 9.8. SentinelOne EPSS 악용 확률 91.42%.
Langflow 1.3.0은 post_validate_code에 _current_user: CurrentActiveUser를 주입해 수정. FastAPI가 취약 로직 실행 전 JWT Bearer 또는 x-api-key를 검증하고 비활성 사용자는 거부합니다.
06 · Flodrix vs JADEPUFFER — 동일 CVE, 다른 캠페인
Trend Micro는 동일 Langflow 결함 경유 배포되는 Flodrix(LeetHozer 계열 봇넷)를 문서화했습니다. 페이로드는 스크립트형 정찰이며 에이전틱 랜섬이 아닙니다:
Flodrix는 700바이트 Bash 다운로더로 ELF를 받아 DDoS 참여로 이어집니다. JADEPUFFER는 PostgreSQL 덤프, MinIO 자격 증명 탈취, Nacos 장악, DB 파괴까지 진행. 둘 다 KEV 등재 후 CVE-2025-3248이 적극 스캔됐음을 보여주며, ATA급 자율성을 입증한 것은 JADEPUFFER뿐입니다.
07 · 1단계: Langflow 호스트 침해
1단계 페이로드는 모두 RCE 엔드포인트 경유 Base64 인코딩 Python이었습니다.
병렬 정찰·API 키 수집
id, uname -a, hostname 이후 Agent는 병렬로 LLM 벤더 키(OpenAI, Anthropic, DeepSeek, Gemini), 중국 클라우드 접두사(ALIBABA_, ALIYUN_, TENCENT_, HUAWEI_), AWS/GCP/Azure 자격 증명, 지갑 시드, DB 설정 파일을 스캔했습니다.
PostgreSQL 덤프·측면 탐색
Langflow 자체 PostgreSQL 백엔드가 덤프되었고, 자격 증명·API 키·사용자 레코드가 로컬에 스테이징·확인 후 삭제돼 포렌식 흔적을 줄였습니다. 내부 주소 공간과 명명 서비스가 기본 자격 증명으로 탐색됐습니다.
MinIO 적응 열거
minio.internal:9000과 127.0.0.1:9000에 기본 minioadmin:minioadmin으로 접속, terraform-state 버킷 등 열거, credentials.json 추출. ?format=json이 XML을 반환하자 다음 페이로드는 즉시 XML 파싱으로 전환—맹목적 재시도가 아닌 probe-error-adapt입니다.
crontab 지속성
08 · 2단계: MySQL + Nacos 프로덕션 랜섬
프로덕션 서버는 인터넷 공개 MySQL과 Alibaba Nacos를 운영. Agent는 root 자격 증명으로 접속했으나 Sysdig는 출처를 피해자 탈취와 연결하지 못했습니다—소수의 수동 준비 입력 가능성.
Nacos 장악: 31초 자가 수리
| UTC 시각 | 동작 |
|---|---|
| 19:34:24 | xadmin bcrypt 해시로 DB 삽입 |
| 19:34:36 | xadmin:Xploit@2026# 로그인 — 실패 |
| 19:34:48 | nacos:nacos 기본값 병렬 테스트, admin123 해시 재생성 |
| 19:35:07 | 직접 import bcrypt, 깨진 행 삭제, 올바른 해시 재삽입 |
| 19:35:18 | 로그인 성공 — 첫 실패부터 31초 |
컨테이너 탈출 프로브(약 8분)
MySQL INTO OUTFILE·LOAD_FILE로 /var/lib/mysql-files/ 쓰기·읽기, /var/run/docker.sock, /proc/1/cgroup, /etc/hostname 읽기, mysql.func UDF 승격 경로 확인. 랜섬 전 클린업 마커 기록—Sysdig는 정적 익스플로잇 키트가 아닌 구조화된 Agent 단계 완료로 봅니다.
암호화와 README_RANSOM
암호화 키는 uuid4() 생성·1회 출력·저장·유출 없음. 1,342건 config_info를 AES_ENCRYPT로 암호화해 config_info_enc로, 원 테이블과 his_config_info DROP, README_RANSOM에 비트코인·Proton 메일. 몸값 메모는 AES-256이라 하나 MySQL 기본은 AES-128-ECB입니다.
스키마 파괴·FOREIGN_KEY_CHECKS 수정
여러 DB가 ROI 우선 주석과 함께 DROP. 데이터가 「64.20.53[.]230」에 백업됐다고 자칭했으나 Sysdig는 독립 유출 증거를 찾지 못했습니다. 외래 키로 DROP DATABASE 실패 시 다음 페이로드에 SET GLOBAL FOREIGN_KEY_CHECKS=0 추가.
09 · 자율성 네 가지 증거
- 자기 서술 주석. 디코딩된 페이로드에 ROI 순서, 최대 DB, 각 단계 이유가 자연어로 내장—분석가 주석이 아닌 공격 코드 내 서술.
- 기계 속도 오류 수정.31초 Nacos 백도어 수리, MinIO XML/json 피벗, JWT 커스텀 비밀 포기,
FOREIGN_KEY_CHECKS수정은 모두 실패 원인에 대응. - 자연어 맥락 이해.수주 간격 세션에서 자유 텍스트 환경 맥락을 해석해 정규식 스캔으로 설명 어려운 행동.
- 비트코인 주소 수수께끼.선택 주소는 LLM 학습 코퍼스에 빈번한 Bitcoin Core 문서 예시—환각인지 의도적 선택인지 불명.
10 · 비트코인 주소 수수께끼
README_RANSOM의 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy는 Bitcoin Core 문서 표준 P2SH 예시. 온체인: 737건 확정 거래, 역사적 수취 약 46 BTC, 현재 잔액 0(즉시 스위프). Sysdig는 LLM 환각과 운영자 의도를 구분 못 하며 ATA 귀속의 새 불확실성을 보여줍니다.
11 · IOC 표
| 유형 | 지표 |
|---|---|
| C2 / 비콘 | 45.131.66[.]106 — 30분 간격 crontab |
| 유출(미검증) | 64.20.53[.]230 — Agent 주석 내에만 |
| 진입 CVE | CVE-2025-3248(Langflow <1.3.0) |
| 비트코인 | 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy |
| 연락처 | e78393397[@]proton[.]me |
| 지속성 | 외부 URL Python 비콘 crontab |
12 · 비교 매트릭스
| 차원 | 전통형 랜섬 | Flodrix | JADEPUFFER(ATA) |
|---|---|---|---|
| 운영자 | 인간 + RaaS | 자동 스크립트/봇넷 | LLM Agent |
| 진입 | 피싱, RDP | CVE-2025-3248 | CVE-2025-3248 → MySQL/Nacos 측면 |
| 페이로드 | 패키지 암호화 바이너리 | 고정 정찰 명령 | 600+ 적응 Python + 주석 |
| 오류 처리 | 사전 검증 플레이북 | 최소 | 31초 다단 자가 수리 |
| 경제성 | 제휴 수수료 | DDoS 임대 | LLMjacking — 탈취 API 키로 한계 비용 거의 0 |
13 · Sysdig 방어 권고(전 7항)
- Langflow 1.3.0 초과로 업그레이드하고 코드 검증 엔드포인트를 공개 인터넷에 노출하지 말 것.
- DB 프로세스 런타임 위협 탐지로 대량
AES_ENCRYPT·몸값 테이블 생성 탐지. - Agent 런타임에서 API 키 제거—전용 시크릿 매니저로.
- Nacos 경화:
token.secret.key로테이션, 인증 우회 계열 패치, 공개 노출 금지,rootDB 연결 회피. - DB 관리 계정을 인터넷에 노출하지 말 것.
- 이그레스 제어로 임의 C2 비콘 차단.
- 상기 IOC 헌팅—crontab 외부 URL 호출 모니터링.
14 · 업계 반응
BleepingComputer, Dark Reading, CyberScoop, Security Affairs는 JADEPUFFER를 최초의 완전 AI 기반 랜섬으로 ATA 시대 개막으로 봤습니다. CSO Online은 Vibhum Dubey 인터뷰에서 이것이 신기법이 아니라 실행의 진화라 지적. 중요한 것은 암호화 전 조용한 기간에 Agent가 아이덴티티·신뢰 관계를 매핑한다는 점입니다. LLMjacking—탈취 클라우드·모델 자격 증명으로 Agent 구동—으로 다단계 공격 한계 비용이 거의 0에 가까워지는 점도 암호화 자체만큼 경계해야 할 신호입니다.
15 · Sysdig 네 가지 결론
- 스킬 장벽 붕괴. LLM Agent가 깊은 전문 지식 없이 정찰부터 파괴까지 연쇄 가능.
- 오래된 버그 자동 스프레이. 2021 Nacos 결함·기본 비밀 의존. ATA는 역사 CVE 코퍼스 전체를 거의 무료로 스프레이.
- 의도가 읽힌다. 자기 서술 주석은 전통 맬웨어에 없던 새 탐지 핸들.
- 「백업됨」은 미검증 서사. 64.20.53[.]230 주장은 Agent 주석 내에만. 암호화 키는 일회성—지불로 복구 불가.
16 · 방어 단계(7)
- Langflow·Flowise·Agent 오케스트레이션 전 엔드포인트 목록화. 1.3.0 미만은 긴급 패치.
- AI 프로토타입과 프로덕션 데이터 플레인 분리. Langflow 호스트에서 프로덕션 MySQL/Nacos로 직접 라우팅 금지.
- LLM·클라우드 키 로테이션·Vault화. 공개 호스트 환경 변수에 둔 키는 소각된 것으로 간주.
- Nacos 경화 체크리스트: 커스텀 JWT 비밀, 최신 패치, 프라이빗 네트워크만, 최소 권한 DB 사용자.
- DB 감사 로그로
AES_ENCRYPT대량 작업·README_RANSOM유사 테이블 탐지. - 오케스트레이션 서브넷 이그레스 차단.
- IOC 헌팅으로
45.131.66[.]106비콘·crontab Python 원라이너 모니터링.
17 · FAQ(8문)
JADEPUFFER란?
Sysdig가 부여한 최초 문서화 엔드투엔드 LLM 랜섬웨어 코드명(2026년 7월 1일, Michael Clark 등).
ATA란?
AI Agent가 공격 역량을 제공하는 위협의 신분류. 인간이 고정 도구를 조작하는 전통 모델과 대비.
Flodrix와 같나?
아니오. 동일 CVE 악용이나 Flodrix는 봇넷, JADEPUFFER는 ATA 랜섬 체인.
몸값으로 복호화?
거의 불가. 키는 uuid4 생성·1회 출력·미저장.
비트코인 주소가 이상한 이유?
Bitcoin Core 표준 P2SH 예시로 LLM 학습 데이터 빈번. 737거래·약 46 BTC 수취.
관련 CVE?
CVE-2025-3248(진입), CVE-2021-29441·Nacos 기본 JWT(하류).
전문가들의 탐지 관련 발언?
Vibhum Dubey(CSO Online): 조용한 기간·적응 전술이 예측 가능 경로 탐지를 무너뜨림. LLMjacking으로 공격 비용 거의 0.
Mac에서 안전 테스트?
격리 임대 Mac, 1.3.0+, localhost만, 프로덕션 시크릿 금지.
18 · Mac 격리 5단계 플레이북
- Agent 스택 목록화. Langflow, OpenClaw, Ollama, 커스텀 Agent의 공개 IP·저장 자격 증명 기록.
- 깨끗한 Apple Silicon Mac 확보. 베어메탈·SSH—일일 Mac 임대 FAQ 참고.
- Langflow ≥1.3.0 격리 설치. 포트 공개 전
/api/v1/validate/codeJWT/x-api-key검증. - 레드팀 검증. 이그레스 차단, Vault 사이드카, Nacos/MySQL 네트워크 정책을 프로덕션 VPC 비접촉 테스트.
- 승격 vs 폐기 문서화. 패치 증명·시크릿 로테이션·이그레스 규칙 통과 후에만 공유 인프라—M 시리즈 연산 요금으로 연장 격리 가능.
19 · Langflow / Agent 격리용 Mac 임대
JADEPUFFER는 급히 공개한 Langflow가 「개발 샌드박스」가 아니라 프로덕션 MySQL·Nacos로의 ATA 측면 이동 발판이 될 수 있음을 보여줬습니다. 일상 Mac이나 플랫 네트워크 Linux VPS에서 동일 스택을 돌리면 API 키·PostgreSQL 덤프·crontab 비콘이 메인 자격 증명과 같은 운명을 맞습니다.
Linux 호스트에서 Langflow를 시험하는 것은 데모엔 충분하지만 macOS 고유 Agent 연동(OpenClaw, Keychain, Xcode 인접 도구) 검증이 어렵고 오케스트레이션을 프로덕션 DB와 같은 서브넷에 두는 유혹이 남습니다. Windows VM은 Apple Silicon 네이티브 경로가 없고 공유 GPU 클라우드는 이그레스 제어가 어려운 플랫 플레인이 되기 쉽습니다.
안정 빌드, 깨끗한 시크릿 격리, 승격 전 burn-after-reading 검증을 중시한다면 Mac mini M4 일일 임대가 장기적으로 낮은 리스크입니다. 요금 M 시리즈 연산 요금, 연결 일일 임대 FAQ.
20 · 출처·참고문헌
- Sysdig TRT — JADEPUFFER: Agentic ransomware for automated database extortion(Michael Clark, 2026년 7월 1일)
- BleepingComputer — JadePuffer ransomware used AI agent to automate entire attack
- Dark Reading — JadePuffer: The First Complete LLM-Driven Ransomware Attack
- CyberScoop — Sysdig clocks first documented case of agentic ransomware
- CSO Online — Vibhum Dubey 인터뷰(조용한 기간·적응 Agent 전술)
- Security Affairs — JADEPUFFER: First End-to-End AI-Driven Ransomware Operation
- Trend Micro — CVE-2025-3248 Flodrix 봇넷 분석
- NVD / SentinelOne / Zscaler ThreatLabz — CVE-2025-3248 기술 상세; EPSS 91.42%
- CISA KEV — CVE-2025-3248(2025년 5월 5일 등재)
최종 업데이트: 2026년 7월 7일. Langflow 공식 성명 또는 Sysdig 추가 IOC 발표 시 수정합니다.