Il primo attacco ransomware gestito da un’intelligenza artificiale ha fatto discutere parecchio, ma la storia raccontata inizialmente aveva bisogno di qualche precisazione. I ricercatori della società di sicurezza cloud Sysdig hanno documentato quello che definiscono il primo caso conosciuto di ransomware agentico, battezzato JadePuffer. Un’operazione di estorsione in cui a occuparsi dell’esecuzione tecnica dell’attacco, dall’inizio alla fine, non era una persona ma un agente basato su intelligenza artificiale. L’agente è entrato in un server vulnerabile, ha rubato credenziali, si è mosso all’interno della rete del bersaglio, ha cifrato i file e ha persino scritto da solo la richiesta di riscatto, adattandosi agli ostacoli lungo il percorso proprio come farebbe un hacker in carne e ossa. Le prime ricostruzioni parlavano di un attacco portato avanti senza alcuna supervisione umana, con nessuno alla tastiera. La realtà è un po’ più sfumata.
Il ruolo umano dietro JadePuffer
In un’intervista Michael Clark, senior director della ricerca sulle minacce in Sysdig, ha chiarito che una persona era comunque coinvolta, semplicemente non nell’esecuzione tecnica. Qualcuno ha impostato e indirizzato l’operazione, ha predisposto l’infrastruttura dietro le quinte, il server di comando e controllo, il server di staging usato per i dati rubati e ha scelto la vittima. Anche le credenziali usate per violare il database del bersaglio non sono state raccolte dall’agente stesso: sono state ottenute separatamente, attraverso una compromissione precedente, e poi passate all’operazione.
Nulla di tutto questo contraddice quanto sostenuto da Sysdig, e i dettagli tecnici dell’attacco restano notevoli di per sé. L’agente è entrato sfruttando un bug noto in Langflow, uno strumento open source molto diffuso per costruire applicazioni basate su modelli linguistici, poi si è spostato su un server MySQL di produzione e ha approfittato di un’altra falla nota per ottenere accesso da amministratore. Ha cifrato oltre 1.300 record di configurazione e, oltre alla richiesta di riscatto scritta di suo pugno, ha lasciato anche un indirizzo Bitcoin dove versare i soldi. Sysdig non ha reso noto chi fosse il bersaglio.
Velocità e trasparenza dell’agente AI
Le tecniche impiegate erano piuttosto ordinarie, a quanto pare. A colpire sono stati la rapidità e la trasparenza del processo. L’agente AI ha risolto un login fallito in 31 secondi, raccontando il proprio ragionamento in commenti scritti in linguaggio naturale a ogni passaggio.
Un dettaglio che all’inizio aveva confuso le acque è stato poi chiarito. Clark aveva parlato dell’uso di più modelli nell’attacco, citando chiavi rubate per OpenAI, Anthropic, DeepSeek e Gemini. Quelle chiavi però erano semplicemente parte del bottino, non la prova di cosa stesse guidando l’operazione. L’agente ha setacciato l’host Langflow alla ricerca di qualsiasi cosa avesse valore, chiavi API dei provider, credenziali cloud, wallet di criptovalute e configurazioni di database, e quelle chiavi facevano parte del malloppo. Indicano cosa l’attaccante considerava degno di essere preso, ma non dicono quale modello stesse prendendo le decisioni.
Sul modello che effettivamente faceva girare JadePuffer, Clark ha detto che Sysdig non è stata in grado di identificare quello specifico che guidava l’agente e non ha alcuna visibilità sul suo prompt di sistema o sulla configurazione.
Vale la pena rileggere in questa luce la teoria del ricercatore di Microsoft Geoff McDonald, condivisa qualche giorno fa su LinkedIn. McDonald sospettava che dietro l’attacco ci fosse un modello a pesi aperti privato dell’addestramento sulla sicurezza, piuttosto che un modello di frontiera, sulla base della sua esperienza di red teaming che mostra come i livelli di sicurezza dei laboratori più avanzati reggano bene. Il resoconto di Sysdig non conferma né esclude questa ipotesi.
Il post di McDonald metteva anche in guardia sul fatto che le campagne ransomware siano ormai limitate soprattutto dal budget dell’attaccante e non dallo sforzo umano, sollevando la possibilità di migliaia o decine di migliaia di campagne simultanee. Una preoccupazione un po’ difficile da conciliare con quanto descritto da Clark. Se una persona deve ancora scegliere ogni vittima, predisporre l’infrastruttura e procurarsi le credenziali del database per ogni operazione, quello resta comunque un collo di bottiglia. Pur non avendo ancora visto la stessa operazione colpire altre vittime, dato quanto costa poco far girare un agente, Clark si aspetta che le cose cambino.