Cyber Security

JADEPUFFER: un’AI ha condotto da sola un intero attacco ransomware

Arriva il ransoware AI completamente autonomo. JADEPUFFER ha violato un server, rubato credenziali, si è spostato su un obiettivo di produzione, ha cifrato un database e distrutto i dati: tutto da solo, senza nessun operatore umano alla tastiera. È accaduto nei primi giorni di luglio 2026, quando il Threat Research Team di Sysdig ha pubblicato l’analisi di quello che definisce il primo caso documentato di ransomware “agentico”, un’estorsione guidata dall’inizio alla fine da un modello linguistico di grandi dimensioni. I ricercatori hanno chiamato così l’operatore e lo classificano come agentic threat actor: non un umano armato di toolkit, ma un agente AI che decide, prova, sbaglia e corregge da sé.

Che cos’è JADEPUFFER, il primo ransomware “agentico”

Per quindici anni il ransomware è stata un’attività criminale molto umana: qualcuno scriveva il codice, qualcuno sceglieva la vittima, qualcuno trattava il riscatto. JADEPUFFER rompe questa regola. Sysdig lo definisce il primo agentic threat actor documentato, cioè un attore la cui capacità offensiva non è un toolkit guidato da una persona, ma un agente che porta a termine l’intera operazione. Dalla ricognizione al furto di credenziali, dal movimento laterale alla persistenza, fino alla cifratura e alla distruzione dei dati: ogni fase è stata svolta in autonomia dal modello. È la distanza che separa uno strumento che esegue da un sistema che decide.

Come funziona JADEPUFFER: la catena tecnica dell’attacco

L’accesso iniziale sfrutta una vulnerabilità nota di Langflow, il framework open source usato per costruire applicazioni basate su modelli linguistici: si tratta della CVE-2025-3248, un’esecuzione di codice da remoto che non richiede autenticazione. Una volta dentro la macchina esposta, l’agente si assicura una presenza stabile installando un processo pianificato che ogni trenta minuti richiama l’infrastruttura dell’attaccante; poi passa alla fase più delicata, il movimento laterale verso il bersaglio reale, un server MySQL di produzione su cui gira Alibaba Nacos, il servizio di configurazione e discovery. Le credenziali root usate per entrare hanno origine mai chiarita dai ricercatori, un buco nella ricostruzione che resta aperto.

Contro Nacos, JADEPUFFER non prova una sola strada: ne apre diverse in parallelo. Sfrutta una falla di autenticazione del 2021, la CVE-2021-29441; falsifica un token valido usando la chiave di firma di default, quella che troppe installazioni non cambiano mai; inietta direttamente nel database un account amministratore di comodo. Il primo tentativo però non va a segno, e il login fallisce. È qui che si vede la natura del regista. Trentuno secondi dopo, senza mani umane, compare un payload correttivo: l’agente capisce che il problema è un percorso di sistema che impedisce la corretta generazione dell’hash della password, cambia metodo, cancella l’account rotto, ricrea l’amministratore e verifica che ora funzioni.

Lo stesso schema, prova ed errore ragionato, si ripete altrove. Quando interroga uno storage compatibile S3 e riceve una risposta in un formato diverso da quello atteso, l’agente riadatta al volo il proprio parser e rilancia la richiesta; procede per livelli, dal controllo anonimo fino al prelievo mirato dei file che per nome promettono credenziali, come credentials.json o .env. Alla fine arriva la parte distruttiva: cifra 1.342 elementi di configurazione di Nacos con la funzione di cifratura nativa di MySQL, elimina le tabelle originali, crea una tabella di riscatto chiamata README_RANSOM con la richiesta, un indirizzo Bitcoin e un contatto di posta. Il particolare più crudele lo segnala Sysdig: la chiave di cifratura è generata in modo sostanzialmente casuale, stampata a schermo e mai salvata né trasmessa. La conseguenza è che la vittima non recupera i dati nemmeno pagando; non c’è chiave da comprare.

La prova che dietro c’era un’AI, non un umano

Come si stabilisce che a muovere i fili era un’intelligenza artificiale e non una persona? Sysdig porta quattro indizi convergenti. Il primo: i payload sono auto-narranti, saturi di commenti in linguaggio naturale che spiegano lo scopo di ogni passo, con priorità sui bersagli e annotazioni che un operatore umano di rado scrive e che un modello genera per riflesso. Il secondo: l’adattamento in tempo reale ai fallimenti, come i trentuno secondi del caso Nacos. Il terzo: la comprensione del contesto testuale, con l’agente che legge e interpreta risposte in linguaggio libero invece di limitarsi a cercare pattern. Il quarto: la coerenza di oltre seicento payload distinti, eseguiti in una finestra compressa con una logica unica. È il profilo di un agente che ragiona, non di uno script che scorre.

Perché JADEPUFFER cambia l’economia del ransomware

Il ransomware ha sempre avuto un umano nel ciclo, a scrivere lo script o a premere i tasti nei passaggi chiave; con JADEPUFFER quella premessa vacilla. Sysdig lo dice senza giri di parole: la soglia di competenza per gestire un’estorsione è scesa a quanto costa far girare un agente. Se quell’agente lavora con credenziali rubate, il costo per l’attaccante è vicino allo zero. È l’economia stessa del mercato del ransomware a cambiare, non la singola tecnica. Geoff McDonald, che in Microsoft si occupa di difesa degli endpoint, la sintetizza così: gli attacchi distruttivi ora scalano in base al budget dell’attaccante, non più ai suoi limiti umani; un solo operatore potrebbe far correre migliaia di campagne in parallelo. È lo scenario che inquieta più del singolo episodio.

JADEPUFFER e la difesa: cosa cambia per aziende e CISO

Conviene però raffreddare l’allarme dove serve. Le tecniche usate da JADEPUFFER non erano né nuove né sofisticate: falle vecchie, configurazioni trascurate, chiavi di default mai sostituite, infrastruttura esposta su Internet e dimenticata. Un umano, del resto, l’agente lo ha comunque configurato e avviato; qualcuno lo ha puntato sul bersaglio. Come osserva un ricercatore indipendente, siamo davanti a un’evoluzione nell’esecuzione più che a una rottura tecnologica. Il punto è un altro: il ransomware entra nell’era dell’AI agentica, dove il software non si limita a rispondere ma diventa un agente che agisce, e la difesa non può più contare sui tempi lenti di un avversario umano.

La lezione operativa è ruvida e concreta: censire i server esposti, chiudere le falle note, ruotare le credenziali, sostituire le chiavi di default, ridurre la superficie dimenticata. Perché la vera domanda che i responsabili della sicurezza si porteranno in ufficio lunedì mattina è semplice: quante di queste porte, in questo momento, sono ancora aperte dentro il perimetro che dovrebbero difendere. La prossima volta a bussare potrebbe non esserci nessuno; solo qualcosa.


JADEPUFFER: un’AI ha condotto da sola un intero attacco ransomware - Ultima modifica: 2026-07-11T17:56:32+00:00 da Francesco Marino

Giornalista esperto di tecnologia, da oltre 20 anni si occupa di innovazione, mondo digitale, hardware, software e social. È stato direttore editoriale della rivista scientifica Newton e ha lavorato per 11 anni al Gruppo Sole 24 Ore. È il fondatore e direttore responsabile di Digitalic

Recent Posts

Il lavoro sporco dietro l’AI – Joan Kinyua

Dietro l’intelligenza artificiale c’è il lavoro invisibile dei data labeller: la storia di Joan Kinyua,…

1 giorno ago

Nico Losito alla guida IBM Italia: la strategia su AI, quantum e sovranità digitale

Nico Losito, nuovo General Manager di IBM Italia, presenta la strategia su intelligenza artificiale, hybrid…

3 giorni ago

Sovranità digitale: cos’è, perché conta e cosa cambia per aziende e PA

Sovranità digitale: guida completa aggiornata al 2026. Cos’è, perché conta, cloud sovrano, AI, dati, open…

5 giorni ago

Cybersecurity: guida completa

Cybersecurity: guida completa aggiornata al 2026. Cos’è, minacce, ransomware, NIS2, AI, SOC, EDR e strategie…

5 giorni ago

Influencer virtuali e la fine dell’influencer marketing: intervista a Silvio De Rossi

Influencer virtuali, modelli sintetuci e la fine dell'influencer marketing: Silvio De Rossi spiega come l'AI…

5 giorni ago

ChatGPT: cos’è, come funziona, cosa può fare e come usarlo davvero

ChatGPT: guida completa aggiornata al 2026. Cos’è, come funziona, cosa può fare, come usarlo bene,…

5 giorni ago

Digitalic © MMedia Srl

Via Italia 50, 20900 Monza (MB) - C.F. e Partita IVA: 03339380135

Reg. Trib. Milano n. 409 del 21/7/2011 - ROC n. 21424 del 3/8/2011