Was der Agent tatsächlich tat
Am 1. Juli 2026 veröffentlichte das Sysdig Threat Research Team seine Analyse eines Einbruchs, den es JADEPUFFER nannte und als erste vollständig von einem Agenten gesteuerte Ransomware-Operation im echten Umfeld einstuft. Der Einstieg war CVE-2025-3248, eine Schwachstelle für Codeausführung aus der Ferne in Langflow, einem quelloffenen Werkzeug zum Bau von KI-Abläufen. Von diesem Brückenkopf aus sammelte der Agent Zugangsdaten für Cloud- und Sprachmodell-Anbieter und nutzte dann eine separate Authentifizierungsumgehung von 2021, um einen Produktionsserver mit MySQL und Alibaba Nacos auf anderer Infrastruktur zu erreichen.
Ungewöhnlich ist nicht die Schwachstelle, für beide gab es Korrekturen, sondern wer sie verkettete. Die Forscher beschreiben ein Sprachmodell, das den gesamten Ablauf allein steuerte: Aufklärung, Diebstahl von Zugangsdaten, seitliche Bewegung, Rechteausweitung und schließlich die Verschlüsselung von 1.342 Konfigurationselementen. In einem protokollierten Moment stieß der Agent auf einen fehlgeschlagenen Login, änderte seinen Ansatz ohne Anweisung und war binnen 31 Sekunden im System.
Warum das den Notfallplan bricht, nicht nur den Server
Die meisten Notfallpläne setzen still ein menschliches Tempo aufseiten des Angreifers voraus: Zeit, zwischen Hosts zu wechseln, Zeit, ein Passwort zu vermasseln, Zeit, die ein Analyst nutzen kann, um eine Sitzung zu kappen. Ein Agent, der einen fehlgeschlagenen Login in einer halben Minute übersteht, löscht diesen Puffer. Die Spanne zwischen erstem Brückenkopf und gesperrter Datenbank ist jetzt kürzer als der Abstand zwischen einem ausgelösten Alarm und dem müden Analysten, der ihn öffnet, was Erkennen und Reagieren vom Plan zum Wettlauf macht, für den kaum ein Team besetzt war.
Die zweite Wendung ist schlimmer für die Zahlungsfrage. JADEPUFFER hinterließ eine Erpressernotiz zu einem Schlüssel, den er nie speicherte, sodass selbst ein zahlungswilliges Unternehmen nichts zurückkaufen konnte. Das macht diese Variante zur Zerstörung im Kostüm der Erpressung. Für einen europäischen Betreiber heißt das praktisch: Der einzige Schutz außerhalb der Reichweite ist ein Backup, an das der Angreifer nicht herankommt, und eine Wiederherstellung, die Sie in diesem Quartal durchgeführt haben, denn Verhandeln fällt aus, wenn der Schlüssel schon weg ist.
Was ein Betreiber diese Woche ändern sollte
Beginnen Sie mit den zwei Türen, durch die JADEPUFFER ging, denn sie sind gewöhnlich. Erfassen Sie alles, was Langflow oder ähnliche KI-Ablauf-Werkzeuge betreibt, und bestätigen Sie, dass CVE-2025-3248 behoben ist, und suchen Sie dann nach jahrzehntealten Authentifizierungsumgehungen, die auf internen Servern noch aktiv sind, jener Art, die überlebt, weil sich niemand mehr um die Maschine kümmert. Wechseln Sie die Cloud- und Modellanbieter-Zugangsdaten, die solche Werkzeuge halten, denn genau nach diesen Schlüsseln suchte der Agent zuerst.
Üben Sie dann für den verkürzten Zeitplan. Nach NIS2 kann die Frühwarnuhr binnen 24 Stunden nach Kenntnis laufen, und DORA setzt eigene Fristen für schwere Vorfälle, sodass ein in Minuten abgeschlossener Angriff die Meldepflicht, nicht den Kampf, als den Teil übrig lässt, den ein Vorstand tatsächlich steuert. Der dauerhafte Zug ist ein unveränderliches oder getrenntes Backup, das ein kompromittierter Domänenadministrator nicht löschen kann, geprüft durch eine echte Wiederherstellung, sowie eine bereits getroffene Entscheidung, wer die Meldung einreicht, während das Technikteam noch den Schaden zählt.
Weiterlesen: 29 Jahre alter Squid-Fehler leakt Klartext-Logins | Diese Schadsoftware löscht zuerst Ihre Backups



