JadePuffer Mengerikan, Ransomware AI Ini Menyerang Sendiri Tanpa Operator Manusia

Ancaman ransomware memasuki tahap baru ketika operasi bernama JadePuffer diduga mampu menjalankan serangan tanpa operator manusia. Sysdig menilai sistem itu tidak sekadar mengotomatisasi tugas, tetapi juga bisa menyesuaikan langkah saat menemukan hambatan di tengah serangan.

Temuan itu menjadi perhatian karena malware tersebut tampak mampu menggabungkan pengintaian, pergerakan lateral, persistensi, dan pemerasan dalam satu rangkaian yang berjalan mandiri. Jika benar, pola ini menunjukkan perubahan besar dalam cara pelaku siber memanfaatkan agen AI berbasis large language model atau LLM.

Masuk lewat celah Langflow yang sudah ditambal

Menurut Sysdig, JadePuffer memulai serangan dengan mengeksploitasi CVE-2025-3248, celah eksekusi kode jarak jauh pada Langflow. Kerentanan itu sebenarnya sudah ditambal pada April 2025 dan kemudian masuk daftar kerentanan yang diketahui dieksploitasi oleh CISA Amerika Serikat.

Setelah berhasil masuk ke sistem target, agen AI tersebut menjalankan serangkaian aksi yang lazim dilakukan peretas berpengalaman. Malware ini mengumpulkan informasi host, mencari kredensial dan file sensitif, mengekstraksi rahasia cloud, memetakan sumber daya penyimpanan, lalu bergerak lateral ke sistem lain di dalam infrastruktur korban.

Beradaptasi saat serangan tidak berjalan mulus

Yang paling menonjol dari JadePuffer adalah kemampuan menyesuaikan strategi ketika menemui kendala. Dalam laporan yang dikutip www.beritasatu.com, para peneliti melihat agen AI mengubah logika saat menerima respons XML tak terduga ketika mencoba mengakses penyimpanan objek MinIO.

Alih-alih berhenti, sistem memodifikasi parsing dan mencoba metode lain hingga berhasil. Ada juga kasus ketika proses login gagal, tetapi malware memperbaiki kesalahan dan mencoba autentikasi lagi hanya dalam sekitar 31 detik tanpa campur tangan manusia.

Persistensi, eskalasi, dan pemerasan data

Setelah memperoleh akses yang lebih luas, JadePuffer membangun persistensi dengan membuat cron job terjadwal agar tetap bertahan di sistem. Dari sana, malware berpindah ke server produksi yang menjalankan Alibaba Nacos dan mengeksploitasi CVE-2021-29441 untuk membuat akun administrator ilegal.

Akses tersebut kemudian dipakai untuk mengenkripsi 1.342 catatan konfigurasi Nacos, menghapus data asli, dan menggantinya dengan catatan tebusan yang meminta pembayaran bitcoin. Sysdig menyebut catatan itu juga memuat komentar bahasa alami yang sangat terperinci, seolah menjelaskan alasan di balik tiap langkah yang diambil.

Langkah Serangan JadePufferDetail
Masuk awalEksploitasi CVE-2025-3248 pada Langflow
PengintaianMengumpulkan info host, kredensial, dan file sensitif
Ekstraksi dataMengambil rahasia cloud dan memetakan penyimpanan
Pergerakan lateralMenjangkau sistem lain di infrastruktur korban
PersistensiMembuat cron job terjadwal agar tetap bertahan

Jejak yang membuat peneliti curiga operasi ini dibantu AI

Ada sejumlah indikator yang membuat para peneliti menilai operasi ini sangat mungkin dihasilkan oleh AI. Alamat dompet bitcoin dalam catatan tebusan ternyata mengarah ke dompet contoh yang umum dipakai dalam dokumentasi, bukan alamat pembayaran sungguhan.

Selain itu, malware mengeklaim memakai enkripsi AES-256, tetapi analisis menunjukkan kemungkinan besar sistem tersebut justru menggunakan AES-128 dalam mode ECB. Perbedaan seperti ini menjadi salah satu alasan mengapa operasi itu dianggap memiliki ciri khas hasil generasi AI.

Meski belum menunjukkan kemampuan menciptakan teknik eksploitasi baru, tingkat otomatisasi JadePuffer tetap dinilai sebagai lompatan besar. AI di balik serangan itu mampu melakukan pengintaian, meningkatkan hak akses, mempertahankan keberadaan, dan menyebarkan ransomware tanpa harus menunggu arahan pada setiap tahap.

Sysdig menilai temuan ini menjadi bukti bahwa pelaku ancaman berbasis agen AI sudah benar-benar hadir. Di sisi lain, pola perilaku dan gaya pengkodean yang berbeda dari malware tradisional justru bisa membuka peluang baru bagi tim keamanan untuk membangun deteksi yang lebih efektif.

Temuan tersebut juga memperkuat alasan mengapa organisasi perlu segera menambal kerentanan yang dieksploitasi, memperbarui sistem yang terhubung ke internet, dan mengamankan kredensial cloud. Di era serangan berbasis AI, fondasi pertahanan lama tetap menjadi lapisan paling penting.

Source: www.beritasatu.com
Berita Terkait