Công ty bảo mật Sysdig cho biết họ đã phát hiện ra thứ mà họ tin là cuộc tấn công ransomware đầu tiên được thực hiện từ đầu đến cuối bởi một tác nhân AI (AI agent).
Nhóm nghiên cứu đe dọa (Threat Research Team) của họ gọi kẻ vận hành này là JADEPUFFER và cho biết một mô hình ngôn ngữ lớn (LLM) đã xử lý toàn bộ công việc: đột nhập, đánh cắp thông tin xác thực, xâm nhập sâu hơn vào mạng, sau đó mã hóa và xóa sạch cơ sở dữ liệu sản xuất của một công ty.
Ransomware trước đây luôn cần một người có kỹ năng tham gia vào quy trình, dù là trực tiếp thao tác trên bàn phím hay viết mã kịch bản cho mã độc. Nếu một mô hình có thể tự mình liên kết các bước đó, kỹ năng cần thiết để thực hiện một cuộc tấn công sẽ giảm xuống chỉ còn bằng chi phí thuê một tác nhân AI.
Con đường xâm nhập là một lỗ hổng cũ đã được vá. JADEPUFFER đã khai thác CVE-2025-3248, một lỗ hổng thiếu xác thực trong Langflow, một công cụ mã nguồn mở để xây dựng các ứng dụng AI và quy trình làm việc của tác nhân. Lỗ hổng này cho phép bất kỳ ai có thể tiếp cận máy chủ đều có thể chạy mã Python của riêng họ trên đó mà không cần đăng nhập.
Các máy chủ chạy Langflow là mục tiêu hấp dẫn vì chúng thường bị phơi bày trên internet và lưu trữ API keys cũng như thông tin xác thực đám mây cho các dịch vụ mà chúng kết nối.
Lỗ hổng này đã được khắc phục trong Langflow phiên bản 1.3.0 và được thêm vào danh sách Các lỗ hổng bị khai thác phổ biến của CISA vào tháng 5 năm 2025, nhưng nhiều máy chủ vẫn chưa bao giờ được cập nhật. Đây thậm chí không phải là lỗi Langflow duy nhất bị khai thác theo cách này.
Sau khi vào được bên trong, tác nhân AI này đã hoạt động nhanh chóng và tự xóa dấu vết. Nó quét bản đồ máy, sau đó truy tìm các bí mật: API keys cho các dịch vụ AI (OpenAI, Anthropic, DeepSeek, Gemini), thông tin xác thực đám mây (các nhà cung cấp Trung Quốc như Alibaba và Tencent cùng với AWS, Google và Azure), khóa ví điện tử mã hóa và thông tin đăng nhập cơ sở dữ liệu.
Nó đã đột nhập vào máy chủ lưu trữ MinIO bằng cách sử dụng thông tin đăng nhập mặc định (minioadmin:minioadmin), vốn chưa bao giờ được thay đổi. Nó cũng thiết lập một đường quay lại (backdoor), thêm một tác vụ theo lịch trình để gửi tín hiệu (ping) đến máy chủ của kẻ tấn công sau mỗi 30 phút.
Sau đó, nó chuyển hướng sang mục tiêu thực sự: một máy chủ riêng biệt hướng ra internet chạy cơ sở dữ liệu MySQL và Alibaba Nacos (một danh bạ dịch vụ và cài đặt phổ biến trong các kiến trúc microservice). Tác nhân AI đã đăng nhập vào cơ sở dữ liệu với quyền root.
Sysdig cho biết họ không thấy những thông tin xác thực root đó đến từ đâu, vì vậy nguồn gốc của chúng vẫn chưa được xác định. Từ đó, nó chiếm quyền điều khiển Nacos bằng cách sử dụng một lỗ hổng bỏ qua xác thực từ năm 2021 (CVE-2021-29441) và một khóa ký mặc định mà Nacos đã xuất xưởng không thay đổi từ năm 2020, sau đó cài đặt tài khoản quản trị của riêng nó.
Thông điệp đòi tiền chuộc không có chìa khóa giải mã
Tác nhân AI đã mã hóa toàn bộ 1.342 cài đặt Nacos, xóa các bảng dữ liệu gốc và để lại một thông điệp đòi tiền chuộc yêu cầu Bitcoin cùng với địa chỉ liên hệ Proton Mail. Nó đã tạo ra một khóa mã hóa ngẫu nhiên, in ra màn hình một lần duy nhất và không bao giờ lưu lại hoặc gửi nó đi bất cứ đâu.
Không hề có chìa khóa nào để bàn giao. Nạn nhân không thể lấy lại dữ liệu ngay cả khi họ trả tiền. (Thông điệp tuyên bố sử dụng AES-256; Sysdig lưu ý rằng công cụ mà nó sử dụng mặc định là AES-128 yếu hơn, mặc dù kết quả là như nhau.)
Nó thậm chí còn đi xa hơn, xóa toàn bộ cơ sở dữ liệu và để lại một nhận xét trong mã của chính nó tuyên bố rằng nó đã sao chép dữ liệu đi nơi khác.
Sysdig cho biết đó là những gì tác nhân AI tự nói, chứ không phải thứ mà đội ngũ của họ có thể xác nhận, và họ không tìm thấy bằng chứng nào cho thấy bất kỳ dữ liệu nào thực sự được để lại.
Cách các chuyên gia xác định AI là kẻ cầm lái
Dấu hiệu rõ ràng nhất chính là mã nguồn. Các tải trọng (payload) tấn công chứa đầy các ghi chú bằng tiếng Anh giải thích lý do tại sao mỗi bước được thực hiện, một dạng tường thuật mà tin tặc là con người không bao giờ bận tâm viết, nhưng một mô hình AI lại tạo ra theo mặc định. Tác nhân này cũng tự sửa chữa các lỗi của mình với tốc độ của máy móc.
Trong một trường hợp, nó đã chuyển từ một lần đăng nhập thất bại sang một bản sửa lỗi chính xác gồm nhiều bước chỉ trong 31 giây, chẩn đoán đúng nguyên nhân thay vì thử lại một cách mù quáng. Sysdig đã đếm được hơn 600 tải trọng riêng biệt, có mục đích rõ ràng trong suốt quá trình hoạt động.
Một chi tiết vẫn còn là một ẩn số: Địa chỉ Bitcoin trong thông điệp đòi tiền chuộc chính xác là địa chỉ mẫu xuất hiện trong tài liệu dành cho nhà phát triển của Bitcoin, có nghĩa là nó xuất hiện khắp nơi trong các văn bản mà các mô hình AI này được đào tạo. Tuy nhiên, đó cũng là một ví thực, đang hoạt động với lịch sử giao dịch lâu dài.
Sysdig không thể xác định liệu mô hình chỉ đơn giản là dán một địa chỉ trông quen thuộc từ bộ nhớ, hay liệu kẻ vận hành đã cố tình sử dụng một ví thực trùng khớp với ví dụ nổi tiếng đó.
Một phần của xu hướng thay đổi lớn hơn
JADEPUFFER là bước đi mới nhất trong một năm đầy biến động của các cuộc tấn công do AI thúc đẩy. Vào tháng 8 năm 2025, các nhà nghiên cứu tại ESET đã cảnh báo về PromptLock, được coi là ransomware hỗ trợ bởi AI đầu tiên; sau đó nó được xác định là một bản thử nghiệm trong phòng thí nghiệm của NYU có tên là Ransomware 3.0, không phải là một cuộc tấn công thực tế.
Cùng thời điểm đó, Anthropic đã báo cáo một chiến dịch tống tiền thực tế sử dụng công cụ Claude Code của mình để tấn công ít nhất 17 tổ chức, với yêu cầu lên tới hơn 500.000 USD, mặc dù con người vẫn trực tiếp điều khiển cuộc tấn công đó.
Vào tháng 11 năm 2025, Anthropic đã tiết lộ cái mà họ gọi là cuộc tấn công mạng tự trị phần lớn đầu tiên, một nỗ lực gián điệp liên quan đến nhà nước Trung Quốc đã sử dụng Claude để viết các mã khai thác (exploit) và đánh cắp dữ liệu với rất ít sự trợ giúp của con người. Hoạt động đó cũng cho thấy AI tự tạo ra các thông tin xác thực không tồn tại, có thể là cùng một kiểu ảo giác đằng sau địa chỉ Bitcoin kỳ lạ của JADEPUFFER.
Các thành phần của một cuộc tấn công nghiêm trọng đang dần được tự động hóa, và các phần mềm cũ, chưa được vá lỗi là mục tiêu dễ dàng đầu tiên. Các tác nhân AI giúp việc rà soát toàn bộ danh mục các lỗi đã biết trở nên gần như miễn phí, vì vậy các máy chủ bị bỏ rơi ngày càng trở nên rủi ro hơn.
Những điều đội ngũ phòng thủ nên làm
Các biện pháp khắc phục vốn đã quen thuộc: Vá lỗi Langflow và không bao giờ để các điểm cuối thực thi mã của nó tiếp xúc với internet. Không chạy các công cụ AI với các khóa đám mây và thông tin xác thực nhà cung cấp nằm ngay trong môi trường của chúng; hãy giữ các bí mật trong một trình quản lý phù hợp, tránh xa bất cứ thứ gì web có thể tiếp cận.
Tăng cường bảo mật cho Nacos: Thay đổi khóa ký mặc định, không để nó kết nối công khai với internet và không bao giờ cho phép nó kết nối với cơ sở dữ liệu bằng quyền root. Đừng bao giờ để tài khoản quản trị của cơ sở dữ liệu lộ diện trên internet và khóa chặt lưu lượng truy cập hướng ngoại để một máy chủ bị tấn công không thể gửi dữ liệu về máy chủ của kẻ tấn công.
Bởi vì những kẻ tấn công hiện có thể vũ khí hóa một bản tin bảo mật mới chỉ trong vài giờ, Sysdig lập luận rằng việc theo dõi các hành vi bất thường trong thời gian thực (runtime) quan trọng hơn là chạy đua để vá lỗi.
Các chỉ số nhận diện (IoCs) được Sysdig công bố cho chiến dịch này bao gồm:
- Điểm xâm nhập: CVE-2025-3248 (Langflow unauthenticated RCE)
- Máy chủ điều khiển (C2): 45.131.66[.]106, với tín hiệu beacon gửi tới hxxp://45.131.66[.]106:4444/beacon sau mỗi 30 phút
- Máy chủ trung gian được tuyên bố: 64.20.53[.]230
- Địa chỉ Bitcoin đòi tiền chuộc: 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy; liên hệ: e78393397[@]proton[.]me; tên bảng đòi tiền chuộc: README_RANSOM
Sysdig gọi JADEPUFFER là một dấu hiệu cảnh báo hơn là một cuộc khủng hoảng. Không có hành động riêng lẻ nào là quá tinh vi hay mới mẻ. Điểm mới là một mô hình AI đã tự mình xâu chuỗi chúng thành một cuộc tấn công hoàn chỉnh nhắm vào một máy chủ không được bảo trì.
Hãy chuẩn bị cho những kịch bản tương tự khi các công cụ tác nhân AI trưởng thành hơn, và hãy coi bất kỳ máy chủ, kho lưu trữ cấu hình hoặc thông tin đăng nhập quản trị cơ sở dữ liệu nào bị lộ ra ngoài đều là mục tiêu mà máy móc sẽ thăm dò, chứ không chỉ con người.