Con Jadepuffer si entra in un territorio nuovo, di quelli che fino a poco tempo fa appartenevano più alla fantascienza che alla cronaca informatica. Fino a ieri l’intelligenza artificiale era un attrezzo nelle mani dei criminali del web, utile a scrivere codice malevolo o a confezionare email di phishing più credibili. Adesso il quadro cambia parecchio. Secondo i ricercatori del Sysdig Threat Research Team, per la prima volta un attacco ransomware è stato portato avanti interamente da un agente AI, senza nessun operatore umano ai comandi, che alla fine ha lasciato una richiesta di riscatto in Bitcoin.
Come è entrato in azione l’agente AI
Il varco è arrivato da una vulnerabilità critica in Langflow, una piattaforma open source che serve a costruire applicazioni basate sui modelli linguistici. La falla, catalogata come CVE-2025-3248, consentiva l’esecuzione di codice da remoto senza bisogno di alcuna autenticazione. Detto in modo semplice, chiunque sapesse dove guardare poteva entrare senza nemmeno bussare alla porta.
Una volta dentro, l’agente ha fatto esattamente ciò che avrebbe fatto un attaccante umano con esperienza. Ha raccolto credenziali, file di configurazione, password e variabili d’ambiente, poi ha sfruttato tutto questo materiale per muoversi lateralmente verso un server esposto, protetto da credenziali deboli o gestite male. Fin qui, in effetti, niente che si allontani troppo da un attacco tradizionale. La vera differenza salta fuori quando compare un ostacolo.
Sysdig descrive il comportamento dell’AI come adattivo. Invece di seguire uno script rigido, il sistema osservava i risultati di ogni mossa e, quando qualcosa non andava, diagnosticava il problema e produceva una correzione in circa 30 secondi. Un malware classico si pianta davanti all’imprevisto. Questo agente lo aggirava in tempo reale, usando il linguaggio naturale come interfaccia di controllo.
Il riscatto in Bitcoin e gli errori dell’AI
Per chiudere l’operazione, l’AI ha creato una tabella chiamata README_RANSOM con la richiesta di riscatto in Bitcoin e un contatto email anonimo su Proton Mail. Il consiglio resta sempre lo stesso, e qui pesa il doppio. Non pagare mai, perché pagare non garantisce affatto il recupero dei dati. In questo caso i ricercatori confermano che le informazioni colpite non sarebbero state recuperabili nemmeno versando la somma.
C’è un dettaglio che merita attenzione. L’attacco è partito come ransomware ma si è trasformato in qualcosa di più distruttivo. I dati non sono stati cifrati e resi recuperabili dietro pagamento, sono stati semplicemente cancellati. E nel codice analizzato non si trovano tracce di esfiltrazione. In pratica l’AI potrebbe aver gestito male la fase finale, trasformando un’estorsione in puro sabotaggio.
Anche l’indirizzo Bitcoin indicato per il pagamento è un caso curioso. Sysdig ipotizza che possa trattarsi di un’allucinazione del modello, cioè un indirizzo reale pescato dai dati di addestramento e non per forza nella disponibilità di chi ha orchestrato l’attacco. Quell’indirizzo mostra uno storico di oltre 46 BTC ricevuti e inviati, circa 2,7 milioni di euro al cambio attuale, ma oggi il saldo è a zero e non ci sono prove che quelle transazioni siano collegate a Jadepuffer.
Chi ci sia dietro non è chiaro. Sysdig non è riuscita a capire se si tratti di un gruppo strutturato, di un singolo attore oppure di qualcuno che ha configurato un agente e lo ha lasciato lavorare da solo. Il punto non è che questa AI sia infallibile, tutt’altro. Ha sbagliato la fase finale e probabilmente non ha nemmeno incassato il riscatto. Quello che conta davvero è che abbia agito in autonomia, si sia adattata agli ostacoli e abbia completato un attacco complesso senza che nessuno premesse un tasto. La prossima versione potrebbe fare tutto questo senza gli errori, ed è proprio questo scenario che occorre evitare.