SOC Prime Bias: Critique

08 Jul 2026 16:09 UTC

JADEPUFFER Utilise le Rançongiciel Agentic pour l’Extorsion Automatisée de Bases de Données

Author Photo
SOC Prime Team linkedin icon Suivre
JADEPUFFER Utilise le Rançongiciel Agentic pour l’Extorsion Automatisée de Bases de Données
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Résumé

JADEPUFFER représente le premier exemple documenté publiquement de ransomware agentique, une campagne d’extorsion opérée de bout en bout par un modèle de langage à grande échelle. L’acteur exploite des faiblesses dans les instances Langflow exposées à Internet pour obtenir un accès initial puis mène de manière indépendante la reconnaissance, le déplacement latéral et la destruction de bases de données. L’opération se distingue par ses charges utiles auto-narratives et sa capacité à adapter les décisions en temps réel.

Enquête

L’équipe de recherche sur les menaces de Sysdig a observé JADEPUFFER exploitant le CVE-2025-3248 pour exécuter du code Python arbitraire sur un hôte Langflow. Leur enquête a suivi l’agent alors qu’il passait de la collecte de crédentiels de nuage et l’énumération de seaux MinIO à la compromission d’un serveur de production MySQL et Nacos. La recherche a également montré que l’agent diagnostiquait les défaillances opérationnelles, y compris les problèmes d’implémentation de bcrypt et les contraintes de clés étrangères, en quelques secondes.

Atténuation

Les étapes défensives clés incluent la mise à jour de Langflow pour remédier à CVE-2025-3248 et le renforcement de Nacos en remplaçant les clés de signature JWT par défaut. Les organisations devraient éviter d’exposer directement les interfaces d’exécution de code ou les comptes administratifs de base de données à Internet. Des contrôles stricts de sortie et une délimitation attentive des crédentiels de nuage loin des processus accessibles via le Web sont également fortement recommandés.

Réponse

Si une activité de JADEPUFFER est détectée, les intervenants doivent isoler immédiatement les systèmes Langflow et Nacos affectés. Les configurations des bases de données doivent être validées et les hôtes vérifiés pour détecter les entrées de crontab non autorisées ou les nouveaux utilisateurs administratifs. Les équipes doivent également surveiller le trafic réseau pour détecter les connexions vers l’infrastructure de commande et de contrôle identifiée et d’exfiltration, et vérifier les environnements cloud pour les clés API fournisseurs compromises.

Flux d’Attaque

Exécution de simulation

Prérequis : Le contrôle préalable de télémétrie et de base doit avoir réussi.

Justification : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et la narration DOIVENT refléter directement les TTP identifiés et viser à générer la télémétrie exacte attendue par la logique de détection. Les exemples abstraits ou non liés entraîneront des erreurs de diagnostic.

  • Narratif d’attaque et commandes : L’adversaire a obtenu un accès initial à un serveur d’applications basé sur Windows. Ils visent à effectuer une extorsion de base de données automatisée (JADEPUFFER). Tout d’abord, ils utilisent un script Python contenant des crédentiels root codés en dur pour se connecter à la base de données nacos afin d'exfiltrer les données de configuration. Deuxièmement, ils exécutent une série de commandes SQL pour chiffrer les colonnes de tableau sensibles en utilisant la database to exfiltrate configuration data. Second, they execute a series of SQL commands to encrypt sensitive table columns using the fonction AES_ENCRYPT. Cela imite la nature "agentique" du ransomware qui automatise la destruction de la visibilité des données pour exiger un paiement. function. This mimics the « agentic » nature of the ransomware which automates the destruction of data visibility to demand payment.

  • Script de test de régression :

    import pymysql
    
    # Simulation d'accès non autorisé JADEPUFFER (contexte T1548/T1136.002)
    # Cible : base de données de configuration de Nacos
    try:
        connection = pymysql.connect(
            host="localhost", 
            port=3306, 
            user="root", 
            password="password123", # Crédentiels volés simulés
            database="nacos"
        )
        print("[+] Connexion réussie à Nacos en tant que root.")
    
        with connection.cursor() as cursor:
            # Simulation de chiffrement JADEPUFFER (contexte T1053.003)
            # Cette syntaxe spécifique est conçue pour déclencher la règle de détection
            print("[*] Exécution de AES_ENCRYPT pour simuler l'extorsion...")
            sql_extort = "UPDATE configs SET content = AES_ENCRYPT('sensitive_data', 'secret_key') WHERE id = 1;"
            cursor.execute(sql_extort)
            connection.commit()
            print("[+] Télémétrie d'extorsion générée.")
    
        connection.close()
    except Exception as e:
        print(f"[-] La simulation a échoué : {e}")
  • Commandes de nettoyage :

    -- Restaurer la colonne 'content' à un état non chiffré pour l'environnement de test
    UPDATE configs SET content = 'original_unencrypted_data' WHERE id = 1;
    -- Assurez-vous que la connexion root simulée est terminée