JADEPUFFER erklärt 2026: Erste LLM-Ransomware und Langflow CVE-2025-3248 Abwehr

Ca. 18 Min. Lesezeit · MACCOME

Zielgruppe: Teams mit Langflow, OpenClaw oder AI-Agent-Workflows, Cloud-Security-Engineers, SRE und Datenschutzbeauftragte, die ATA (Agentic Threat Actors) verfolgen. Inhalt: Sysdig-TRT-Bericht vom 1. Juli 2026 zu JADEPUFFERCVE-2025-3248 (CVSS 9.8), Zwei-Phasen-Kette Langflow→MySQL+Nacos, 600+ Payloads, 1342 verschluesselte Nacos-Configs mit verlorenem Schluessel, vier Autonomie-Nachweise, Bitcoin-Rätsel, IOCs, Abgrenzung zu Flodrix, 7-Schritte-Runbook inkl. DSGVO-relevanter Datenvernichtung, Vibhum Dubey, Sysdig-Fazit. Struktur: sechs Schmerzpunkte, Vergleichsmatrix, CVE und Angriffskette, Autonomie und IOC, Runbook, Kennzahlen, Mac-Cloud-Isolation, FAQ.

Sechs Schmerzpunkte: Warum JADEPUFFER die AI-Security-Debatte 2026 praegt

Am 1. Juli 2026 veroeffentlichte Sysdig Threat Research (Michael Clark) JADEPUFFER — nach Sysdig-Bewertung der erste dokumentierte Fall, in dem ein LLM-Agent Aufklaerung, Credential-Diebstahl, laterale Bewegung, Persistenz, destruktive Verschluesselung und Erpressung end-to-end ohne menschliche Eingriffe an kritischen Knoten verbindet. Sysdig fuehrte die Kategorie Agentic Threat Actor (ATA) ein. Medien wie BleepingComputer, Dark Reading, CyberScoop, CSO Online und Security Affairs folgten bis 6. Juli.

Einstieg: oeffentlich exponiertes Langflow (CVE-2025-3248). Ransomware-Ziel: separat exponiertes MySQL + Alibaba Nacos. Sysdig erfasste ueber 600 eigenstaendige, zielgerichtete Payloads in komprimierten Zeitfenstern.

  1. Kollabierende Skill-Schwelle: Ransomware ist laut Sysdig keine «Handwerkskunst fuer Experten» mehr — ein LLM-Agent verkettet Phasen ohne Tiefenwissen pro Schritt.
  2. Automatisierte Waffenalisierung alter CVEs: Downstream nutzte Nacos-Bypass (CVE-2021-29441), oeffentlichen Default-JWT-Secret und oeffentliches MySQL root — vernachlaessigte Infrastruktur wird billig ausgemustert.
  3. Die «ruhige Phase» ist das Risiko: Vibhum Dubey (CSO Online) betont Mapping von Identitaeten und Vertrauensketten vor der Verschluesselung — adaptiver Agent bricht erwartbare Detektionspfade.
  4. Absicht in Payloads lesbar: Natuerlichsprachliche Kommentare zu ROI und naechsten Schritten — Sysdig: neue Defensiv-Hebel, aber auch Beweis autonomer Planung.
  5. Unwiederbringlicher Datenverlust: 1342 Nacos-Configs via MySQL AES_ENCRYPT(); Schluessel nur einmal auf stdout — keine Wiederherstellung, auch nicht per Loesegeld. Relevant fuer Art. 32/33 DSGVO Meldepflichten bei personenbezogenen Konfigurationsdaten.
  6. LLMjacking-Oekonomie: Gestohlene LLM-/Cloud-Credentials als Agent-Treibstoff senken Grenzkosten komplexer Angriffe gegen null.

Timeline: April 2025 CVE-2025-3248 → 5. Mai 2025 CISA KEV → 2025 Flodrix-Botnet (Trend Micro, gleicher CVE, separate Kampagne) → Juni 2026 JADEPUFFER → 1. Juli 2026 Sysdig-Report.

JADEPUFFER vs. klassische Ransomware vs. Flodrix: Vergleichsmatrix

Dimension JADEPUFFER (ATA) Klassische Ransomware Flodrix (CVE-2025-3248)
Akteur LLM-gesteuerter ATA Mensch + Skripte / APT Klassischer Botnet-Betreiber
Einstieg Langflow CVE-2025-3248 RCE Vielfaeltig (RDP, Phishing, VPN) Gleicher Langflow-RCE
Menschliche Steuerung Keine manuelle Bedienung an Kernknoten C2, Schritt-fuer-Schritt-Befehle Skriptierte Bot-Auslieferung
Adaptivitaet xadmin-Fix in 31 s, JSON→XML, FK-Bypass Playbooks, manuelle Pivots Festes Recon→Downloader→ELF
Ziel 1342 Nacos-Configs, DB-DROP Datei-/VM-Verschluesselung TCP/UDP-DDoS-Botnet
Wiederherstellung Schluessel verloren — dauerhaft Teils Decryptor N/A

CVE-2025-3248: Langflow ohne Authentifizierung RCE

Langflow (70k+ GitHub-Stars): Endpoint /api/v1/validate/code fuehrt User-Code via ast.parse()compile()exec() ohne Auth und Sandbox aus. Decorators und Default-Argumente werden bei Definition sofort ausgewertet.

CVSS 9.8, betroffen < 1.3.0, EPSS 91.42 %. Patch 1.3.0: JWT/x-api-key via CurrentActiveUser vor Business-Logik.

Zwei-Phasen-Angriffskette

Phase 1 — Langflow-Host

Base64-Python-Payloads: paralleles Scannen von LLM-API-Keys (OpenAI, Anthropic, DeepSeek, Gemini), Cloud-Credentials (ALIBABA_, AWS, GCP), Seeds, DB-Configs. Langflow-PostgreSQL-Dump. MinIO minioadmin:minioadmin auf 127.0.0.1:9000 — ListBuckets, terraform-state, credentials.json; bei JSON-Anfrage mit XML-Antwort sofort Parser-Wechsel.

Persistenz: Crontab alle 30 Min. zu hxxp://45.131.66[.]106:4444/beacon.

Phase 2 — MySQL + Nacos

Oeffentliches MySQL-root (Quelle laut Sysdig unklar). Nacos: CVE-2021-29441, Default-JWT, DB-Injection xadmin. 31-Sekunden-Fix (UTC): 19:34:24 Insert → 19:34:36 Login-Fail → 19:34:48 parallele Diagnose → 19:35:07 bcrypt-Neueinsatz → 19:35:18 Erfolg.

Container-Escape-Tests (~8 Min.), dann 1342 Configs AES_ENCRYPT(), DROP config_info/his_config_info, Tabelle README_RANSOM. Schluessel uuid4, nur stdout. FK-Fehler → FOREIGN_KEY_CHECKS=0. Kommentar «Backup nach 64.20.53[.]230» ohne Sysdig-Nachweis.

Vier Autonomie-Nachweise und Bitcoin-Rätsel

  1. Selbstnarrative Kommentare (ROI, groesste DB).
  2. Maschinelle Fehlerkorrektur (31 s xadmin, XML-Pivot, JWT-Abbruch).
  3. Verstaendnis freier Textkontexte ueber Wochen-Sessions.
  4. Bitcoin 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy — Bitcoin-Core-Beispieladresse oder absichtliche Wahl; 737 Tx, ~46 BTC — Sysdig: nicht unterscheidbar.

e78393397@proton.me und README_RANSOM ohne bekannte Ransom-IOC-Treffer — neues Agent-Muster.

IOC-Uebersicht

TypIndikator
C2 / Beacon45.131.66[.]106, Port 4444/beacon
Staging (unbestaetigt)64.20.53[.]230 (InterServer AS19318)
CVECVE-2025-3248
Bitcoin3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy
Kontakte78393397@proton.me
PersistenzCrontab 30 Min., auffaellige User-Agent-Klammern

7-Schritte-Abwehr-Runbook (Sysdig + Datenschutz)

  1. Langflow ≥ 1.3.0: CVE-2025-3248 patchen; Code-Validierungs-Endpoints nicht oeffentlich.
  2. Runtime-Detection: Malware in DB-Prozessen (Massen-AES_ENCRYPT, OUTFILE, DROP).
  3. Secrets trennen: Keine LLM-/Cloud-Keys in Agent-Runtime — KMS/Vault, getrennt von oeffentlich erreichbaren Prozessen (Datenschutz by Design).
  4. Nacos haerten: Default token.secret.key rotieren, kein oeffentliches Nacos, kein root-DB-Backend.
  5. DB nicht oeffentlich: Admin-Ports nur intern, starke Credentials, IP-Allowlists.
  6. Egress-Kontrolle: C2-Beacons und externe Staging-Server blockieren.
  7. IOC- und Crontab-Monitoring: siehe Tabelle; Meldeprozesse fuer betroffene personenbezogene Daten vorbereiten.
warning

Hinweis: Basierend auf Sysdig-Originalbericht und Drittmedien. System-Prompts nicht oeffentlich. IOCs blockieren; Datenschutzbeauftragte bei Config-Daten mit PII einbeziehen.

Drei Kennzahlen fuer Security-Briefings

  • 600+ eigenstaendige Payloads in komprimierten Fenstern.
  • 1342 Nacos-Configs verschluesselt, Schluessel verloren.
  • 31 Sekunden xadmin-Recovery (15-Zeilen-Fix-Payload).

Branche und Sysdig-Fazit

Vibhum Dubey: Evolution der Ausfuehrung, nicht neuer Crypto — aber autonome Verkettung und Taktikwechsel. Ruhige Phase vor Verschluesselung ist Detektionsluecke.

Sysdig (4 Punkte): Skill-Schwelle faellt; alte CVEs automatisiert; Selbstnarration als Defensiv-Chance; «Backup»-Behauptung unbewiesen, Schluessel unwiederbringlich. Erste Angriffsflaeche: oeffentliches Langflow, Nacos, DB-root.

Isoliertes Mac-Cloud-Hosting fuer AI-Agent-Prototypen

Langflow mit API-Keys oeffentlich exponiert = JADEPUFFER-Einstieg. Dedizierter gemieteter Mac-Mini-M4-Cloud-Knoten trennt Agent-Prototypen von Produktions-DBs und persoenlichen Profilen — Egress, Patches, Secret-Injection kontrollierbar. Siehe auch Datenschutz bei Cloud-Mac.

Fazit: ATA-Aera beginnt

Einzeltechniken sind alt — die LLM-Verkettung ist neu. Patch, haerten, segmentieren — oder 2021er CVEs werden 2026 von Agenten neu ausgerollt.

Fuer isolierte macOS-Agent-Umgebungen: MACCOME Mac Mini M4. Preise: Mac-Mini-Mietpreise; Fragen: Mac-Mini-Hilfe-FAQ.

Quellen

Sysdig TRT (1.7.2026); BleepingComputer; Dark Reading; CyberScoop; CSO Online (Dubey); Security Affairs; Trend Micro/Flodrix; CISA KEV; NVD/EPSS.

FAQ

Was ist JADEPUFFER?

Sysdig-Codename vom 1.7.2026; ATA mit Langflow-CVE-2025-3248 bis MySQL+Nacos-Ransomware — erste dokumentierte LLM-End-to-End-Kette.

Erste KI-Ransomware?

Sysdig und Major-Media bewerten als erste vollautomatisierte LLM-gesteuerte Ransomware-Kette ohne menschliche Kern-Eingriffe.

CVE-2025-3248?

Langflow <1.3.0, /api/v1/validate/code, CVSS 9.8, KEV 5.5.2025, EPSS 91.42 %.

Angriffskette?

Phase 1 Langflow+MinIO+Beacon; Phase 2 MySQL root, xadmin 31 s, 1342 Configs, README_RANSOM, DROP.

Loesegeld hilft?

Nein — Schluessel nur auf stdout, nie gespeichert; dauerhafter Verlust.

Was ist ATA?

Agentic Threat Actor — Angriff durch KI-Agent, nicht manuell geschaltet.

Unterschied Flodrix?

Gleicher CVE; Flodrix = Botnet, JADEPUFFER = separate LLM-Ransomware mit 600+ Payloads.

Schutz Langflow/Nacos?

Patch, kein oeffentliches validate/code, KMS, Nacos-JWT rotieren, kein DB-root oeffentlich, Egress, IOC-Monitoring.