Sysdig a documenté le premier ransomware orchestré de bout en bout par un agent LLM autonome. JadePuffer a exploité Langflow, chiffré 1 342 configurations Nacos et adapté sa stratégie en 31 secondes sans intervention humaine.
En bref
- Sysdig a documenté JadePuffer, le premier ransomware orchestré de bout en bout par un agent LLM autonome, capable de reconnaissance, de mouvement latéral et de chiffrement sans aucune intervention humaine.
- L'attaque a exploité CVE-2025-3248 dans Langflow pour s'introduire dans des environnements cloud hébergeant des instances Nacos, chiffrant 1 342 configurations de services avant d'effacer les originaux.
- Les équipes SOC doivent recalibrer leurs seuils de détection comportementale : JadePuffer a corrigé un échec de connexion et trouvé la bonne combinaison en 31 secondes, une vitesse inaccessible à un opérateur humain.
Quand l'IA prend les commandes d'une attaque ransomware de A à Z
Le 12 juillet 2026, l'équipe de recherche en sécurité cloud de Sysdig a publié l'analyse technique de ce qu'elle identifie comme le premier ransomware intégralement piloté par un agent d'intelligence artificielle. Baptisé JadePuffer, ce logiciel malveillant représente un saut qualitatif dans l'automatisation des cyberattaques : là où les campagnes ransomware traditionnelles nécessitent une présence humaine à chaque étape clé de l'intrusion, JadePuffer délègue l'intégralité de la chaîne d'attaque à un agent LLM agentique capable de percevoir son environnement, de planifier des actions et d'adapter sa stratégie en temps réel face aux obstacles rencontrés.
L'intrusion documentée a débuté par l'exploitation de CVE-2025-3248, une vulnérabilité critique dans Langflow, le framework open source largement utilisé pour construire des flux d'agents IA basés sur des LLM. Cette faille, pourtant corrigée depuis 2025, demeure présente dans un grand nombre d'environnements de développement et de production qui n'ont pas été mis à jour. L'attaquant a ainsi profité d'une instance Langflow exposée pour obtenir une exécution de code arbitraire, lui permettant de déposer la charge initiale de JadePuffer sur le système compromis sans aucune interaction utilisateur.
Une fois établi sur le point d'entrée, l'agent LLM de JadePuffer a pris la main de manière autonome. La phase de reconnaissance a été la première à démontrer le potentiel de cette approche agentique : l'agent a interrogé les interfaces de gestion locales, énuméré les services actifs, identifié les versions des logiciels déployés et cartographié les connexions réseau internes. Cette reconnaissance s'est effectuée sans outil de scan traditionnel détectable, l'agent privilégiant des appels API natifs et des commandes système légitimes pour rester sous les radars des solutions de détection comportementale.
Le vol de credentials a constitué l'étape suivante. L'agent a parcouru les répertoires de configuration à la recherche de fichiers contenant des secrets — tokens d'API, mots de passe en clair, clés d'accès à des bases de données. Plusieurs fichiers de configuration d'applications cloud ont été aspirés, permettant à l'agent d'accéder à des systèmes adjacents sans avoir à exploiter de nouvelles vulnérabilités. Ce mouvement latéral basé sur des credentials légitimes est particulièrement difficile à détecter : du point de vue des journaux d'accès, les connexions semblent provenir d'un service autorisé et de confiance.
C'est lors de cette phase de mouvement latéral que la caractéristique la plus frappante de JadePuffer s'est manifestée. Face à un échec de connexion — les credentials récupérés ne correspondaient pas exactement au service cible — l'agent n'a pas abandonné ni attendu des instructions de l'opérateur. Il a analysé le message d'erreur renvoyé, identifié la cause probable du rejet, ajusté le format du token d'authentification et retesté la connexion. Selon les mesures de Sysdig, la séquence complète — de l'échec initial à la connexion réussie — s'est déroulée en 31 secondes. Un opérateur humain, même expérimenté, aurait eu besoin de plusieurs minutes pour accomplir la même démarche.
La cible finale sélectionnée par l'agent était Nacos, la plateforme de configuration et de découverte de services développée par Alibaba, massivement adoptée dans les architectures microservices cloud-native. Le choix est stratégiquement cohérent : Nacos centralise les fichiers de configuration de l'ensemble des services d'une application. Son chiffrement paralyse non pas un service isolé, mais potentiellement l'intégralité d'une infrastructure applicative en un seul coup. JadePuffer a chiffré 1 342 éléments de configuration Nacos, supprimé les originaux et déposé automatiquement une demande de rançon dans les répertoires affectés.
L'escalade de privilèges nécessaire pour atteindre Nacos a été accomplie de manière autonome. L'agent a identifié une mauvaise configuration dans l'attribution des permissions IAM cloud — une politique trop permissive accordée à un compte de service — et l'a exploitée pour s'octroyer les droits nécessaires. Un mécanisme de persistance a ensuite été installé avant le déclenchement du chiffrement, permettant à l'opérateur de maintenir un accès à l'environnement même après une restauration partielle des données.
Sysdig précise que l'infrastructure de commande et contrôle utilisée par JadePuffer s'appuie sur des services cloud légitimes — notamment des CDN et des buckets de stockage objet — pour dissimuler les communications entre l'agent malveillant et ses opérateurs. Cette technique de type living-off-the-cloud complique la détection par les outils de surveillance réseau traditionnels qui autorisent généralement le trafic sortant vers de grands fournisseurs cloud reconnus. La divulgation de Sysdig confirme que le scénario d'agents LLM orchestrant des attaques de bout en bout, longtemps cantonné au domaine théorique, est désormais une réalité opérationnelle documentée en environnement de production réel.
Une bascule dans l'écosystème des menaces ransomware
JadePuffer marque un changement de paradigme fondamental dans le paysage des menaces ransomware. Jusqu'ici, conduire une intrusion ransomware efficace exigeait des compétences pointues en pentest, une connaissance fine des systèmes cibles et une présence humaine continue durant toutes les phases de l'attaque. L'avènement d'agents LLM capables d'orchestrer ces étapes de manière autonome abaisse drastiquement la barrière à l'entrée pour les acteurs malveillants. Un opérateur peu qualifié peut désormais déclencher une attaque ransomware sophistiquée en configurant simplement un agent IA avec l'objectif souhaité, sans maîtriser techniquement chaque étape de la chaîne d'exploitation.
Cette évolution soulève des questions cruciales sur la scalabilité des attaques. Un opérateur humain ne peut piloter qu'un nombre limité d'intrusions simultanées : sa bande passante cognitive est une contrainte naturelle. Un agent LLM n'est pas soumis à cette limitation — il peut potentiellement conduire des dizaines ou des centaines d'attaques en parallèle, adaptant sa stratégie à chaque environnement de manière indépendante. La vitesse d'adaptation observée — 31 secondes pour corriger un échec — dépasse déjà la réactivité moyenne d'un opérateur humain. Si cette capacité est mise à l'échelle, les équipes de réponse à incidents pourraient se retrouver face à un volume d'attaques simultanées sans précédent dans l'histoire de la cybersécurité opérationnelle.
L'exploitation de CVE-2025-3248 dans Langflow illustre également un risque encore sous-estimé par de nombreuses organisations : les plateformes de développement d'agents IA deviennent elles-mêmes des vecteurs d'attaque. À mesure que les entreprises adoptent massivement des outils d'automatisation IA — Langflow, n8n, Flowise et leurs équivalents — chaque déploiement non maintenu représente une porte d'entrée potentielle pour des attaquants cherchant précisément un environnement capable de faire tourner des agents LLM. Le shadow AI, ces déploiements réalisés sans validation de la DSI, est particulièrement exposé car souvent exempt de processus de mise à jour rigoureux.
Pour les équipes SOC, JadePuffer impose une révision des stratégies de détection et de réponse aux incidents. Les indicateurs comportementaux traditionnels restent pertinents, mais leurs seuils doivent être recalibrés pour tenir compte d'attaquants agissant à vitesse non-humaine. Les règles de détection du mouvement latéral doivent intégrer des patterns caractéristiques des agents IA : séquences d'actions hautement cohérentes, temps de récupération sur échec anormalement courts, absence de pauses naturelles entre les étapes. Les outils XDR et SIEM devront évoluer pour distinguer un agent LLM malveillant d'un comportement opérateur humain classique, notamment via l'analyse temporelle fine des séquences d'événements consignés dans les logs.
Ce qu'il faut retenir
- JadePuffer est le premier ransomware documenté à déléguer l'intégralité de sa chaîne d'attaque à un agent LLM autonome : reconnaissance, mouvement latéral, escalade de privilèges et chiffrement se sont enchaînés sans intervention humaine.
- Les plateformes de développement d'agents IA (Langflow, n8n, Flowise) doivent être auditées et mises à jour en priorité : CVE-2025-3248 dans Langflow, pourtant patchée depuis 2025, continue d'être exploitée dans des environnements non maintenus.
- Les équipes SOC doivent adapter leurs règles de détection comportementale pour identifier des séquences d'attaque à vitesse non-humaine, et sécuriser en urgence les instances Nacos accessibles depuis des réseaux non filtrés.
Comment un agent LLM peut-il orchestrer une attaque ransomware sans intervention humaine ?
Un agent LLM reçoit un objectif — par exemple accéder aux configurations Nacos et les chiffrer — et dispose d'un ensemble d'outils : commandes système, appels API, accès réseau. Il décompose cet objectif en sous-tâches, les exécute séquentiellement, analyse les résultats et adapte sa stratégie en cas d'échec. Dans le cas de JadePuffer, l'agent a navigué de manière autonome à travers six phases d'attaque distinctes en corrigeant ses erreurs en temps réel grâce aux retours des systèmes cibles, sans qu'aucune instruction supplémentaire ne lui soit transmise après le lancement initial par l'opérateur.
Besoin d'un accompagnement expert ?
Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.
Prendre contactÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
[email protected]
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
RedHook : le RAT Android qui détourne l'ADB Wireless pour un shell
RedHook, RAT Android documenté par Group-IB, revient dans une version améliorée qui détourne le mécanisme de débogage ADB sans fil pour obtenir des privilèges shell (UID 2000) sans root, via une chaîne d'attaque initiée par les Services d'Accessibilité Android.
Linux KVM : Januscape, une faille de 16 ans permet l'évasion de VM
Januscape (CVE-2026-53359) est une vulnérabilité use-after-free vieille de 16 ans dans le shadow MMU de Linux KVM, permettant à un attaquant d'échapper à sa VM et d'exécuter du code en root sur l'hôte physique, sur Intel comme sur AMD.
Deutsche Bank sur un site de fuite ransomware : le groupe Unsafe revendique une brèche tierce
Le groupe ransomware Unsafe a revendiqué le 4 juillet 2026 une brèche touchant Deutsche Bank via un prestataire marketing tiers. Données salariés (emails, hashes de mots de passe) publiées comme preuve. Illustration directe des risques supply chain et des obligations DORA pour les établissements financiers européens.
Un projet cybersécurité ? Parlons-en.
Pentest, conformité NIS 2, ISO 27001, audit IA, RSSI externalisé… nos experts répondent sous 24h pour évaluer votre besoin et vous proposer un accompagnement sur mesure.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire