O que o agente fez de facto
A 1 de julho de 2026, a equipa de investigação de ameaças da Sysdig publicou a sua análise de uma intrusão a que chamou JADEPUFFER e que avalia como a primeira operação de ransomware totalmente conduzida por um agente vista no terreno. O ponto de entrada foi a CVE-2025-3248, uma falha de execução remota de código no Langflow, uma ferramenta aberta para construir fluxos de IA. A partir dessa cabeça de ponte, o agente recolheu credenciais de fornecedores de nuvem e de modelos de linguagem e depois reutilizou uma evasão de autenticação de 2021 para alcançar um servidor de produção com MySQL e Alibaba Nacos noutra infraestrutura.
O invulgar não são as falhas, ambas com correção disponível, mas quem as encadeou. Os investigadores descrevem um modelo de linguagem a conduzir sozinho o ciclo completo: reconhecimento, roubo de credenciais, movimento lateral, escalada de privilégios e por fim a cifragem de 1.342 itens de configuração. Num momento registado, o agente esbarrou num login falhado, mudou de abordagem sem que lho pedissem e estava dentro em 31 segundos.
Porque quebra o plano de resposta, não só o servidor
A maioria dos planos de resposta assume em silêncio um ritmo humano do lado do atacante: tempo para se mover entre máquinas, tempo para falhar uma palavra-passe, tempo que um analista pode usar para notar e cortar uma sessão. Um agente que recupera de um login falhado em meio minuto apaga essa margem. O intervalo entre a primeira cabeça de ponte e uma base bloqueada é já mais curto do que o intervalo entre um alerta disparado e o analista cansado que o abre, o que transforma detetar e responder de plano em corrida que poucas equipas estavam dotadas para vencer.
A segunda reviravolta é pior para o cálculo do pagamento. O JADEPUFFER deixou uma nota de resgate ligada a uma chave que nunca armazenou, pelo que até uma empresa disposta a pagar não tinha nada a recomprar. Isso faz desta variante uma destruição disfarçada de extorsão. Para um operador europeu, a leitura prática é que o único controlo fora do raio de impacto é uma cópia que o atacante não alcança e um restauro que executou neste trimestre, porque negociar não é opção quando a chave já desapareceu.
O que um operador deve mudar esta semana
Comece pelas duas portas por onde o JADEPUFFER passou, porque são banais. Inventarie tudo o que corre Langflow ou ferramentas de fluxo de IA semelhantes e confirme que a CVE-2025-3248 está corrigida, e depois cace evasões de autenticação com uma década ainda vivas em servidores internos, do tipo que sobrevive porque já ninguém é dono da máquina. Rode as credenciais de nuvem e de fornecedor de modelos que essas ferramentas guardam, porque foram justamente essas chaves que o agente procurou primeiro.
Depois ensaie para o calendário comprimido. Sob a NIS2 o relógio de aviso prévio pode correr em 24 horas após o conhecimento e a DORA fixa os seus próprios prazos para incidentes graves, pelo que um ataque que termina em minutos deixa o dever de notificar, não o combate, como a parte que um conselho realmente controla. O movimento duradouro é uma cópia imutável ou desligada que um administrador de domínio comprometido não possa apagar, provada por um restauro real, mais uma decisão já tomada sobre quem apresenta o aviso regulatório enquanto a equipa técnica ainda conta o estrago.
Leia a seguir: Falha Squid de 29 anos expoe logins em texto simples | Este malware apaga primeiro os seus backups



