Sysdig affirme avoir documenté un cas inédit de ransomware piloté par un agent IA. Baptisée JadePuffer, l’opération aurait exploité une instance Langflow exposée avant de viser un serveur de production. Le scénario reste à manier avec prudence, mais il montre comment l’IA agentique peut automatiser des tâches offensives déjà connues et réduire fortement le niveau technique nécessaire pour les enchaîner.
Les ransomwares n’avaient pas attendu l’IA générative pour s’industrialiser. Affiliés, kits prêts à l’emploi, plateformes RaaS et automatisation partielle ont déjà largement abaissé la barrière d’entrée. Avec JadePuffer, Sysdig estime toutefois avoir observé un cap supplémentaire : une opération d’extorsion dans laquelle la chaîne technique aurait été conduite par un agent fondé sur un grand modèle de langage.
L’attaque, détaillée par l’équipe de recherche de Sysdig, aurait commencé par l’exploitation de CVE-2025-3248, une vulnérabilité affectant Langflow, un framework open source utilisé pour construire des applications et workflows autour des LLM. La faille permettait l’exécution de code arbitraire sur des instances exposées. Pour les attaquants, ce type de serveur est particulièrement attractif : il peut contenir des clés API, des secrets cloud ou des identifiants liés à des environnements IA déployés rapidement et parfois mal cloisonnés.
Une attaque classique, mais orchestrée autrement
La nouveauté de JadePuffer ne tient pas tant aux techniques utilisées qu’à leur orchestration. Selon Sysdig, l’agent a commencé par énumérer l’hôte compromis, rechercher des secrets, analyser l’environnement, puis pivoter vers une cible de production distincte. Les charges observées étaient livrées sous forme de scripts Python encodés en Base64 via le point d’entrée Langflow.
L’objectif final aurait été un serveur exposant une base MySQL et un service Nacos. Sysdig indique que l’agent a attaqué plusieurs vecteurs à la fois, exploité des faiblesses connues de configuration et chiffré 1 342 éléments de configuration Nacos, avant de supprimer les tables originales et de laisser une note de rançon avec adresse Bitcoin et contact Proton Mail.
Le comportement le plus notable tient à sa capacité à corriger rapidement sa trajectoire. Dans une séquence citée par Sysdig, l’agent serait passé d’une tentative de connexion échouée à une correction fonctionnelle en 31 secondes. Les payloads observés contenaient aussi de nombreux commentaires en langage naturel, avec des explications sur les actions réalisées, un indice que Sysdig attribue à une génération par LLM.
Pas de magie, mais une accélération
Il serait tentant de présenter JadePuffer comme une attaque sans humain. Ce serait aller trop vite. Des précisions rapportées après la publication de Sysdig indiquent qu’un opérateur humain restait impliqué dans le choix de la cible, l’infrastructure utilisée et certains éléments d’accès. L’autonomie porte donc surtout sur l’exécution technique de l’intrusion, pas sur l’ensemble de la campagne criminelle.
Cette nuance rend le cas plus intéressant. JadePuffer ne montre pas une IA omnipotente inventant de nouvelles techniques d’attaque, mais un agent capable d’enchaîner rapidement des actions déjà connues : reconnaissance, collecte de secrets, tentative de pivot, exploitation de mauvaises configurations, chiffrement et extorsion. Le signal est là. L’IA ne transforme pas forcément les attaquants en génies techniques, mais elle peut fluidifier l’exécution, réduire les temps morts et rendre plus accessibles des opérations qui demandaient jusqu’ici davantage de méthode.
JadePuffer marque donc moins l’arrivée d’une cybercriminalité entièrement déshumanisée qu’un changement de cadence. Si les agents IA deviennent capables de relier seuls les étapes d’une intrusion, la différence ne se jouera pas seulement sur la sophistication des attaques, mais sur leur vitesse d’exécution et leur reproductibilité.




