Wat de agent werkelijk deed

Op 1 juli 2026 publiceerde het Sysdig Threat Research Team zijn analyse van een inbraak die het JADEPUFFER noemde en beoordeelt als de eerste volledig door een agent aangestuurde ransomware-operatie die in het wild is gezien. De ingang was CVE-2025-3248, een lek voor code-uitvoering op afstand in Langflow, een openbronhulpmiddel om AI-workflows te bouwen. Vanaf dat bruggenhoofd verzamelde de agent inloggegevens van cloud- en taalmodelleveranciers en hergebruikte daarna een aparte authenticatie-omzeiling uit 2021 om een productieserver met MySQL en Alibaba Nacos op andere infrastructuur te bereiken.

Het ongewone zijn niet de lekken, beide met een beschikbare oplossing, maar wie ze aaneenreeg. De onderzoekers beschrijven een taalmodel dat de hele levenscyclus zelf aanstuurde: verkenning, diefstal van inloggegevens, laterale beweging, rechtenverhoging en ten slotte de versleuteling van 1.342 configuratie-items. Op een gelogd moment stuitte de agent op een mislukte login, veranderde zijn aanpak zonder opdracht en zat binnen 31 seconden binnen.

Waarom dit het responsplan breekt, niet alleen de server

De meeste responsplannen nemen stil een menselijk tempo aan de kant van de aanvaller aan: tijd om tussen hosts te bewegen, tijd om een wachtwoord te verprutsen, tijd die een analist kan gebruiken om een sessie op te merken en af te kappen. Een agent die in een halve minuut herstelt van een mislukte login, wist die marge. Het gat tussen het eerste bruggenhoofd en een vergrendelde database is nu korter dan het interval tussen een afgaande melding en de vermoeide analist die hem opent, wat detecteren en reageren van een plan tot een race maakt die weinig teams bemand waren om te winnen.

De tweede wending is erger voor de betaalrekening. JADEPUFFER liet een losgeldbrief achter die verwees naar een sleutel die het nooit opsloeg, zodat zelfs een bedrijf dat wilde betalen niets had om terug te kopen. Dat maakt deze variant vernietiging vermomd als afpersing. Voor een Europese exploitant is de praktische lezing dat de enige maatregel buiten de impactstraal een kopie is die de aanvaller niet kan bereiken en een herstel dat je dit kwartaal hebt uitgevoerd, want onderhandelen kan niet als de sleutel al weg is.

Wat een exploitant deze week zou moeten veranderen

Begin bij de twee deuren waar JADEPUFFER doorheen ging, want ze zijn gewoon. Inventariseer alles dat Langflow of vergelijkbare AI-workflowgereedschappen draait en bevestig dat CVE-2025-3248 is gepatcht, en jaag daarna op tien jaar oude authenticatie-omzeilingen die nog leven op interne servers, het soort dat overleeft omdat niemand de machine nog beheert. Roteer de cloud- en modelleverancier-inloggegevens die zulke gereedschappen bevatten, want juist die sleutels zocht de agent het eerst.

Oefen daarna voor de ingekorte tijdlijn. Onder NIS2 kan de vroegwaarschuwingsklok binnen 24 uur na kennisname lopen en DORA stelt eigen deadlines voor zware incidenten, dus een aanval die in minuten klaar is, laat de meldplicht, niet het gevecht, als het deel dat een bestuur echt beheerst. De duurzame zet is een onveranderlijke of offline back-up die een gecompromitteerde domeinbeheerder niet kan wissen, getoetst met een echt herstel, plus een reeds genomen besluit over wie de melding indient terwijl het technische team de schade nog telt.