JadePuffer: chiến dịch ransomware đầu tiên do AI tự vận hành từ đầu đến cuối
Đội ngũ nghiên cứu bảo mật Sysdig vừa công bố phát hiện về JadePuffer, được đánh giá là chiến dịch ransomware đầu tiên trong lịch sử được vận hành hoàn toàn từ đầu đến cuối bởi một AI agent, từ khâu trinh sát mục tiêu, đánh cắp thông tin xác thực, di chuyển ngang trong hệ thống cho tới mã hoá dữ liệu tống tiền, đánh dấu sự xuất hiện chính thức của khái niệm tác nhân đe doạ tự động (agentic threat actor).
JadePuffer được xác nhận là chiến dịch tống tiền đầu tiên do AI agent tự vận hành toàn bộ quy trình tấn công. Nguồn: YouTube
Đội nghiên cứu bảo mật Sysdig vừa công bố phát hiện về JadePuffer, được đánh giá là chiến dịch ransomware đầu tiên trong lịch sử vận hành hoàn toàn bởi một AI agent từ đầu đến cuối. AI đã tự thực hiện trinh sát mục tiêu, đánh cắp thông tin xác thực, di chuyển ngang trong hệ thống, thiết lập khả năng duy trì truy cập, leo thang đặc quyền và mã hoá dữ liệu tống tiền. Kẻ tấn công khai thác lỗ hổng CVE-2025-3248 trên nền tảng Langflow để xâm nhập ban đầu, sau đó chuyển hướng sang máy chủ MySQL chạy Alibaba Nacos, mã hoá tổng cộng 1.342 mục cấu hình dịch vụ trước khi xoá bản gốc. Đáng chú ý, AI agent đã tự sửa lỗi đăng nhập thất bại chỉ trong 31 giây, thể hiện khả năng thích nghi linh hoạt tương tự một hacker con người thực thụ.
Ngành an ninh mạng toàn cầu vừa ghi nhận một cột mốc đáng lo ngại khi đội nghiên cứu bảo mật Sysdig công bố phát hiện về JadePuffer, chiến dịch được đánh giá là trường hợp đầu tiên trong lịch sử một cuộc tấn công ransomware được vận hành hoàn toàn từ đầu đến cuối bởi một AI agent, không cần con người can thiệp trực tiếp vào từng bước kỹ thuật.
| Đơn vị phát hiện | Sysdig |
| Bản chất | Ransomware do AI agent vận hành toàn bộ |
| Lỗ hổng khai thác ban đầu | CVE-2025-3248 (Langflow) |
| Mục tiêu tiếp theo | Máy chủ MySQL chạy Alibaba Nacos |
| Dữ liệu bị mã hoá | 1.342 mục cấu hình dịch vụ Nacos |
| Tốc độ tự sửa lỗi | 31 giây từ thất bại tới thành công |
Toàn bộ chuỗi tấn công do AI tự thực hiện
Theo báo cáo của Sysdig, AI agent đứng sau JadePuffer đã tự động thực hiện toàn bộ chuỗi hoạt động tấn công mạng kinh điển: trinh sát thu thập thông tin về mục tiêu, đánh cắp thông tin xác thực, di chuyển ngang giữa các hệ thống trong mạng nội bộ, thiết lập cơ chế duy trì truy cập lâu dài, leo thang đặc quyền và cuối cùng là mã hoá dữ liệu nhằm mục đích tống tiền nạn nhân. Đây là lần đầu tiên toàn bộ chuỗi hoạt động phức tạp này được ghi nhận diễn ra mà không có sự can thiệp kỹ thuật trực tiếp nào từ con người trong suốt quá trình thực thi.
Điểm khiến các chuyên gia bảo mật đặc biệt lo ngại là khả năng thích nghi của AI agent trước các trở ngại phát sinh trong quá trình tấn công, tương tự cách một hacker con người dày dạn kinh nghiệm xử lý tình huống bất ngờ. Cụ thể, hệ thống liên tục điều chỉnh và thử lại các bước thất bại với tham số được tinh chỉnh lại, và trong một chuỗi thao tác, AI đã tự động chuyển từ một lần đăng nhập thất bại sang tìm ra cách khắc phục thành công chỉ trong vỏn vẹn 31 giây.
Phân tích chi tiết về chiến dịch JadePuffer và ý nghĩa của nó với ngành an ninh mạng. Nguồn: YouTube
Chi tiết kỹ thuật: từ Langflow tới Alibaba Nacos
Về mặt kỹ thuật, kẻ tấn công đứng sau JadePuffer đã khai thác lỗ hổng CVE-2025-3248, một lỗi thực thi mã từ xa không cần xác thực trên Langflow, nền tảng mã nguồn mở phổ biến được nhiều nhà phát triển dùng để xây dựng các ứng dụng dựa trên mô hình ngôn ngữ lớn. Sau khi xâm nhập thành công vào máy chủ Langflow, AI agent tiếp tục thiết lập cơ chế duy trì truy cập bằng cách cài đặt một tác vụ định kỳ (cron job) trên máy chủ, được cấu hình để gửi tín hiệu báo hiệu về hạ tầng của kẻ tấn công mỗi 30 phút một lần.
Từ điểm xâm nhập ban đầu tại Langflow, AI agent tiếp tục chuyển hướng sang một máy chủ MySQL sản xuất đang chạy Alibaba Nacos, sử dụng thông tin đăng nhập quyền root mà Sysdig cho biết chưa xác định được nguồn gốc chính xác. Tại đây, hệ thống Nacos tiếp tục bị nhắm tới bằng nhiều tải trọng tấn công khác nhau, bao gồm khai thác lỗ hổng CVE-2021-29441, một lỗi vượt qua xác thực cho phép tạo ra các tài khoản quản trị giả mạo trái phép. Cuối cùng, AI agent đã mã hoá tổng cộng 1.342 mục cấu hình dịch vụ trên Nacos trước khi xoá bỏ các bản gốc, hoàn tất quy trình tống tiền.
Ý nghĩa: kỷ nguyên “tác nhân đe doạ tự động” đã bắt đầu
Sysdig kết luận rằng trường hợp JadePuffer là minh chứng rõ ràng cho thấy kỷ nguyên của “tác nhân đe doạ tự động” (agentic threat actor) đã chính thức bắt đầu, làm giảm đáng kể rào cản kỹ năng cần thiết để thực hiện các cuộc tấn công mạng gây thiệt hại nghiêm trọng. Chuyên gia bảo mật Johan Edholm nhận định đây “thiên về sự tiến hoá hơn là phát minh mới”, khi các kỹ thuật như khai thác dịch vụ lộ diện, thu thập thông tin xác thực hay phá huỷ cơ sở dữ liệu đều là những chiến thuật quen thuộc trong giới tấn công mạng. Điều đáng chú ý thực sự nằm ở việc những chiến thuật rời rạc này lần đầu tiên được một mô hình AI tự kết nối lại thành một chiến dịch ransomware hoàn chỉnh, có tổ chức.
Đáng chú ý, dù phần kỹ thuật thực thi được AI đảm nhiệm gần như hoàn toàn, con người vẫn không hoàn toàn đứng ngoài chiến dịch. Vẫn có người đứng sau việc thiết lập và định hướng ban đầu cho hoạt động, chuẩn bị hạ tầng máy chủ điều khiển và máy chủ lưu trữ dữ liệu bị đánh cắp, cũng như lựa chọn mục tiêu tấn công. Diễn biến này cho thấy ranh giới giữa tấn công mạng do con người thực hiện và do AI tự động hoá đang ngày càng mờ nhạt, đặt ra thách thức mới cho các đội ngũ phòng thủ an ninh mạng trên toàn cầu, đặc biệt trong bối cảnh các công cụ AI tạo sinh như GPT-Live của OpenAI và hạ tầng tính toán AI như chip Ironwood của Google đang ngày càng trở nên mạnh mẽ và dễ tiếp cận hơn với mọi đối tượng, kể cả những kẻ có ý đồ xấu.
Với người dùng và doanh nghiệp tại Việt Nam, sự xuất hiện của các chiến dịch tấn công tự động hoá bằng AI như JadePuffer càng nhấn mạnh tầm quan trọng của việc chủ động nâng cao nhận thức bảo mật, từ việc cập nhật vá lỗi phần mềm kịp thời cho tới trang bị kỹ năng nhận biết và phòng tránh các hình thức lừa đảo trực tuyến ngày càng tinh vi, khi ranh giới giữa tấn công do con người và AI thực hiện đang ngày càng khó phân biệt hơn bao giờ hết.