대상: Langflow·OpenClaw·AI Agent 워크플로를 운영하는 개발자, 클라우드 보안 엔지니어, SRE, ATA(Agentic Threat Actor)를 추적하는 보안 책임자. 제공 내용: Sysdig TRT 2026년 7월 1일 원본 보고서 기반 JADEPUFFER 전체 분석—CVE-2025-3248(CVSS 9.8) 기술 해부, Langflow→MySQL+Nacos 2단계 공격 체인, 600+ payload, 1342개 Nacos 설정 암호화·키 유실, 4가지 자율성 증거, 비트코인 주소 미스터리, IOC, Flodrix와의 구분, 6단계+ 방어 Runbook, Vibhum Dubey 업계 반응, Sysdig 4대 결론. 구성: 6대 쟁점, ATA 비교표, CVE·공격 체인, 자율성·IOC, Runbook, 핵심 수치, Mac 클라우드 격리 브릿지, FAQ 8항.
2026년 7월 1일, 클라우드 보안 업체 Sysdig 위협 연구팀(TRT, Michael Clark)이 JADEPUFFER를 공개했습니다. 이는 현재 문서화된 범위에서 정찰·자격증명 탈취·측면 이동·지속성·파괴적 암호화·협박까지 LLM Agent가 엔드투엔드로 연결한 최초의 랜섬웨어 사례로 평가됩니다. Sysdig는 이를 Agentic Threat Actor(ATA, 지능체 위협 행위자)로 명명했으며, 7월 2–6일 BleepingComputer, Dark Reading, CyberScoop, CSO Online, Security Affairs 등이 후속 보도했습니다.
진입점은 공网에 노출된 Langflow 인스턴스(CVE-2025-3248)이고, 실제 랜섬 대상은 별도로 공网에 노출된 MySQL + Alibaba Nacos 생산 서버입니다. Sysdig는 압축된 시간 창에 600개 이상의 독립적·목적 지향 payload를 포착했습니다.
AES_ENCRYPT()로 암호화했으나 키는 uuid4() 생성 후 stdout에 한 번만 출력·미저장·미전송—공격자도 복호 키를 보유하지 않음. 몸값 지불해도 데이터 복구는 사실상 불가능합니다.타임라인: 2025년 4월 CVE-2025-3248 공개 → 2025년 5월 5일 CISA KEV 등재 → 2025년 Flodrix 봇넷(Trend Micro, 동일 CVE, JADEPUFFER와 무관) → 2026년 6월 JADEPUFFER 공격(수 주에 걸친 세션) → 2026년 7월 1일 Sysdig 보고서.
동일 CVE 진입점을 공유하는 Flodrix와 JADEPUFFER를 혼동하면 잘못된 위협 모델링으로 이어집니다.
| 차원 | JADEPUFFER (ATA) | 전통 랜섬웨어 | Flodrix (CVE-2025-3248) |
|---|---|---|---|
| 행위자 유형 | LLM Agent 주도 ATA | 인간·스크립트 혼합 APT/범죄 | 전통적 봇넷 운영자 |
| 진입점 | Langflow CVE-2025-3248 RCE | 다양(RDP, 피싱, VPN 등) | 동일 Langflow RCE |
| 운영자 개입 | 핵심 노드에서 인간 수동 조작 없음 | 단계별 C2·운영자 명령 | 스크립트화 DDoS 봇 배포 |
| 적응성 | 31초 xadmin 수정, XML/JSON 전환, FK 우회 | 플레이북·수동 pivot | 고정 recon→다운로더→ELF |
| 최종 목표 | MySQL+Nacos 1342 config 암호화·DB DROP | 파일·VM 암호화·협박 | TCP/UDP DDoS 봇넷 |
| 복구 가능성 | 키 유실로 사실상 영구 손실 | 일부 갱단은 복호 제공 | 해당 없음 |
Langflow는 GitHub 7만+ 스타의 오픈소스 AI Agent 워크플로 빌더입니다. 취약점은 /api/v1/validate/code—코드 검증용 엔드포인트가 ast.parse() → compile() → exec()로 실행되며 인증·샌드박스 없음. Python 데코레이터·기본 인자는 함수 호출 전 즉시 평가되므로 악성 코드가 「검증」 단계에서 실행됩니다.
CVSS 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H), 영향 버전 1.3.0 미만, EPSS 91.42%(SentinelOne). 패치 1.3.0은 _current_user: CurrentActiveUser 의존성으로 JWT/x-api-key 검증 후에만 비즈니스 로직 실행.
# Flodrix 캠페인에서 관찰된 동일 CVE 악용 패턴 (Trend Micro)
exec('raise Exception(__import__("subprocess").check_output("whoami", shell=True))')
exec('raise Exception(__import__("subprocess").check_output("cat /root/.bash_history", shell=True))')
Base64 Python payload가 RCE 엔드포인트로 전달됩니다. Agent는 id·uname·hostname 열거와 병렬로 OpenAI·Anthropic·DeepSeek·Gemini API Key, ALIBABA_/TENCENT_/AWS/GCP 자격증명, 암호화폐 시드, DB 설정을 스캔합니다. Langflow PostgreSQL 백엔드를 덤프·검토·삭제합니다.
MinIO: 127.0.0.1:9000에 기본 minioadmin:minioadmin으로 ListBuckets → terraform-state·credentials.json GetObject. JSON 요청이 XML 응답을 받으면 즉시 XML 파서로 전환—고정 스크립트가 아닌 적응형 루프입니다.
지속성: crontab 30분마다 hxxp://45.131.66[.]106:4444/beacon 비콘.
공网 MySQL root(출처 불명, Sysdig는 환경 탈취 관찰 없음)로 연결. Nacos는 CVE-2021-29441 우회·공개 JWT secret·DB 직접 xadmin 주입을 병행합니다.
xadmin 31초 수정(UTC): 19:34:24 bcrypt 삽입 → 19:34:36 xadmin:Xploit@2026# 로그인 실패 → 19:34:48 nacos:nacos 테스트 + admin123 재해시 병렬 → 19:35:07 subprocess 대신 import bcrypt로 재삽입 → 19:35:18 로그인 성공. Sysdig는 인간이 31초 내 이 수정을 수행하기 어렵다고 평가합니다.
약 8분간 MySQL INTO OUTFILE/LOAD_FILE로 docker.sock·cgroup·UDF 컨테이너 탈출 탐색 후, 1342개 Nacos config_info를 AES_ENCRYPT()로 암호화, 원본·his_config_info DROP, README_RANSOM 테이블 생성. 키는 uuid4 생성·stdout 1회 출력·미저장. 이후 SET GLOBAL FOREIGN_KEY_CHECKS=0로 FK 실패 자동 수정, 다수 DB DROP—주석에 「64.20.53[.]230에 백업」(Sysdig는 독립 검증 없음).
KEY = base64.b64encode(uuid.uuid4().bytes + uuid.uuid4().bytes).decode()
print("Encryption key:", KEY) # 한 번만 출력, 저장·전송 없음
cur.execute("CREATE TABLE config_info_enc AS SELECT ... AES_ENCRYPT(content, KEY) ...")
cur.execute("DROP TABLE config_info")
cur.execute("CREATE TABLE README_RANSOM (...)")
3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy: Bitcoin Core 문서의 표준 P2SH 예시 주소이기도 함. 737건·약 46 BTC 수신 이력 있으나 LLM 환각 vs 공격자 의도적 선택—Sysdig는 구분 불가.연락처 e78393397@proton.me, 테이블명 README_RANSOM은 기존 MySQL 랜섬 IOC와 불일치—신규 Agent 주도 패턴을 시사합니다.
| 유형 | 지표 |
|---|---|
| C2 / 비콘 | 45.131.66[.]106 — crontab :4444/beacon |
| 데이터 스테이징(미검증) | 64.20.53[.]230 (InterServer AS19318) |
| 진입 CVE | CVE-2025-3248 (Langflow) |
| 비트코인 | 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy |
| 연락처 | e78393397@proton.me |
| 지속성 | crontab 30분 비콘, 괄호 User-Agent 이상 |
/api/v1/validate/code 등 코드 실행·검증 엔드포인트를 공网에 노출하지 않음.token.secret.key 교체, 커스텀 키 강제 버전 업그레이드, 공网 노출 금지, 백엔드 DB를 root로 연결 금지.45.131.66.106, 30분 crontab, README_RANSOM 테이블 생성 알림.법적 표현: 본문은 Sysdig TRT 원본 보고서 및 BleepingComputer·Dark Reading 등 제3자 보도에 기반합니다. 피해자·공격자 system prompt는 공개되지 않았습니다. IOC는 즉시 차단·헌팅에 활용하되, 조직별 노출면에서 독립 검증하십시오.
AES_ENCRYPT() 처리 후 원본·히스토리 DROP—키는 stdout 1회 출력 후 영구 유실.Vibhum Dubey(CSO Online): 「새로운 랜섬 기술보다 실행 방식의 진화」—자동화 recon·탈취는 오래됐으나, AI Agent가 단계를 자율 연결·차단 시 전술 전환. 암호화 전 조용한 기간이 탐지 공백.
Sysdig 4대 결론: (1) 랜섬 스킬 장벽 붕괴 (2) 오래된 취약점 자동 무기화 (3) payload 자기 서사가 방어 기회 (4) 「백업 완료」는 공격자 주장일 뿐—키 유실로 복구 불가. JADEPUFFER는 공网 Langflow·Nacos·DB root가 최우선 공격면임을 경고합니다.
Langflow·Agent 오케스트레이션을 노트북이나 프로덕션 VPC에 API Key와 함께 공网 노출하면 JADEPUFFER류 ATA의 1차 표적이 됩니다. 전용 대여 Mac Mini M4 클라우드 노드는 격리 macOS에서 Agent 프로totype을 실행하고, egress 정책·시크릿 주입·패치 주기를 통제합니다—개인 브라우저·프로덕션 DB와 분리.
Linux VPS는 순수 CLI에 유리하나 Apple Silicon·macOS 전용 CI 체인과 충돌할 수 있습니다. 비교 대상은 「혼합 노트북 vs 격리 macOS Agent 호스트」입니다.
JADEPUFFER의 개별 기술은 새롭지 않습니다. LLM Agent가 이를 엔드투엔드 랜섬 체인으로 연결한 것이 전환점입니다. Langflow 패치, Nacos 강화, DB 공网 차단, egress 제어를 오늘 적용하지 않으면 2021년 취약점이 2026년 Agent에 의해 재무장됩니다.
수 분 내 SSH, 예측 가능한 월 비용, API Key와 분리된 격리 macOS Agent 환경이 필요하면 MACCOME Mac Mini M4 클라우드를 검토하십시오. 요금은 Mac mini 대여 요금, 운영 문의는 고객 센터로 연락하십시오.
Sysdig TRT JADEPUFFER 원본 보고서(2026-07-01); BleepingComputer; Dark Reading; CyberScoop; CSO Online(Vibhum Dubey); Security Affairs; Trend Micro CVE-2025-3248/Flodrix; CISA KEV; NVD/SentinelOne EPSS.
FAQ
JADEPUFFER란 무엇인가요?
Sysdig TRT가 2026년 7월 1일 공개한 공격자 코드명입니다. Agentic Threat Actor(ATA)로, Langflow CVE-2025-3248로 진입해 MySQL+Nacos를 암호화·파괴한 최초 문서화 LLM 주도 엔드투엔드 랜섬웨어로 평가됩니다.
정말 최초의 AI 랜섬웨어인가요?
Sysdig는 정찰부터 협박까지 인간 개입 없이 LLM Agent가 연결한 최초 완전 자동화 사례로 평가합니다. 주요 보안 매체가 동일 프레이밍으로 보도했습니다.
CVE-2025-3248은 무엇인가요?
Langflow 1.3.0 미만 /api/v1/validate/code 미인증 RCE. CVSS 9.8, CISA KEV 2025-05-05, EPSS 91.42%.
공격 체인은 어떻게 진행되나요?
Phase 1: Langflow RCE → 자격증명·MinIO → crontab 비콘. Phase 2: MySQL root + Nacos xadmin(31초 수정) → 1342 config 암호화 → README_RANSOM → DB DROP.
몸값을 지불하면 복구 가능한가요?
사실상 불가능합니다. 암호화 키는 생성 후 stdout에만 출력·미저장·미전송—공격자도 키를 보유하지 않습니다.
ATA란?
Sysdig가 제안한 Agentic Threat Actor—공격 역량이 AI Agent에 의해 제공되고 인간이 단계별 조작하지 않는 위협 행위자 유형입니다.
Flodrix와의 차이는?
동일 CVE 진입점. Flodrix는 Trend Micro가 추적한 전통 DDoS 봇넷; JADEPUFFER는 LLM Agent 600+ payload 자율 랜섬—별개 캠페인입니다.
Langflow·Nacos는 어떻게 보호하나요?
Langflow 1.3.0+ 패치, validate/code 공网 차단, API Key KMS 분리, Nacos JWT secret 교체·공网 금지, DB root 공网 금지, egress 제어, IOC 모니터링.