IA agêntica em ransomware: como agentes LLM automatizam ataques

IA agêntica em ransomware: como agentes LLM estão automatizando ataques cibernéticos complexos

A evolução da inteligência artificial generativa ampliou significativamente as possibilidades de automação em diferentes áreas da tecnologia. Entretanto, a mesma capacidade de compreender contexto, interpretar informações e executar tarefas complexas também passou a ser explorada por agentes maliciosos. Um exemplo dessa nova realidade foi apresentado pela empresa de segurança em nuvem Sysdig, que documentou um ataque em que um agente baseado em modelos de linguagem (LLM) foi utilizado para conduzir uma campanha de ransomware contra uma infraestrutura vulnerável.

Diferentemente dos ataques tradicionais, nos quais scripts previamente programados executam etapas específicas, o incidente analisado demonstrou que um agente inteligente foi capaz de adaptar seu comportamento durante a invasão. Em vez de apenas executar comandos fixos, o sistema interpretava o ambiente comprometido, ajustava sua estratégia conforme os resultados obtidos e prosseguia automaticamente para novas fases da operação.

Essa característica representa uma mudança importante para equipes responsáveis pela segurança corporativa. O desafio deixa de ser apenas impedir ataques automatizados convencionais e passa a incluir agentes capazes de tomar decisões durante a execução das ações ofensivas.

Por que a IA agêntica representa uma nova preocupação para a segurança corporativa?

Os modelos de linguagem de grande porte (LLMs) vêm sendo empregados para automatizar processos, auxiliar desenvolvedores, criar aplicações inteligentes e acelerar fluxos de trabalho empresariais. Frameworks como o Langflow surgiram justamente para facilitar a construção dessas aplicações, permitindo integrar diferentes modelos e desenvolver agentes capazes de executar tarefas relativamente complexas.

No entanto, a mesma arquitetura utilizada para fins legítimos pode ser aproveitada por agentes maliciosos. O relatório analisado demonstra exatamente esse cenário: um agente denominado JadePuffer explorou uma vulnerabilidade crítica presente em uma instância do Langflow exposta à internet e utilizou as capacidades do LLM para conduzir praticamente toda a cadeia de ataque.

O aspecto mais relevante não foi apenas a exploração inicial da vulnerabilidade, mas a capacidade do agente de compreender o ambiente comprometido, interpretar informações encontradas durante a invasão e adaptar suas próximas ações sem depender de intervenção humana constante.

O problema estratégico da exposição de aplicações críticas

Uma vulnerabilidade conhecida foi suficiente para iniciar toda a cadeia de ataque

Segundo o relatório da Sysdig, o ponto inicial da invasão foi a exploração da vulnerabilidade CVE-2025-3248, uma falha crítica de autenticação ausente identificada no Langflow e divulgada em abril.

A vulnerabilidade recebeu pontuação CVSS 9,8, refletindo seu elevado potencial de impacto. Sua exploração permite que invasores executem código Python arbitrário diretamente no host onde o Langflow está sendo executado.

Além da severidade técnica, outro fator aumenta sua relevância: a CISA adicionou essa vulnerabilidade ao catálogo de falhas exploradas ativamente já no início de maio, indicando que o problema rapidamente passou a ser utilizado em ataques reais.

Esse contexto demonstra um aspecto recorrente da segurança corporativa. Muitas organizações concentram esforços na identificação de novas ameaças, mas frequentemente permanecem expostas a vulnerabilidades críticas já conhecidas e documentadas.

Infraestruturas expostas ampliam a superfície de ataque

O incidente mostra que a instância do Langflow encontrava-se acessível pela internet, permitindo que o agente realizasse a exploração remotamente.

Quando aplicações administrativas ou plataformas responsáveis pela integração de modelos de IA permanecem diretamente expostas, elas passam a representar um ponto de entrada altamente atrativo para atacantes.

Nesse cenário, a vulnerabilidade não precisou ser combinada com técnicas extremamente sofisticadas. Bastou a existência da falha conhecida para permitir o comprometimento inicial do ambiente.

Como o agente utilizou o LLM após obter acesso

Reconhecimento inteligente do ambiente

Após conquistar a capacidade de executar código, o agente iniciou uma fase extensa de reconhecimento da infraestrutura comprometida.

Em vez de simplesmente procurar arquivos específicos previamente definidos, o LLM passou a analisar diferentes tipos de informações disponíveis no sistema.

Segundo a Sysdig, o agente procurou diversos elementos considerados estratégicos para continuidade da invasão, incluindo:

  • chaves de API;
  • credenciais de serviços em nuvem;
  • carteiras de criptomoedas;
  • arquivos de configuração;
  • credenciais de bancos de dados.

O aspecto mais importante não foi apenas a busca por esses dados, mas a capacidade do modelo interpretar diferentes formatos de arquivos durante a investigação.

Extração sistemática de segredos

Durante essa etapa, o agente também acessou o banco de dados PostgreSQL utilizado pelo Langflow para coletar segredos armazenados na plataforma.

Em seguida, examinou o espaço de endereçamento interno acessível, identificando serviços disponíveis dentro da infraestrutura comprometida.

O relatório também aponta que foram sondados endereços MinIO com o objetivo de localizar novas credenciais capazes de ampliar o acesso ao ambiente.

Essa sequência demonstra um comportamento semelhante ao observado em operadores humanos experientes, mas executado automaticamente pelo agente baseado em LLM.

Persistência e preparação para expansão do ataque

Garantindo acesso contínuo

Após concluir o reconhecimento inicial, o agente implantou uma tarefa cron para manter acesso persistente ao servidor onde o Langflow estava instalado.

A criação desse mecanismo de persistência permitia preservar o controle sobre o ambiente comprometido mesmo após o encerramento da sessão inicial.

Do ponto de vista da segurança empresarial, essa etapa evidencia que o objetivo da operação não era apenas explorar uma vulnerabilidade pontual, mas estabelecer permanência suficiente para conduzir fases posteriores do ataque.

Adaptação em tempo real

Durante toda essa fase inicial, a Sysdig observou um comportamento particularmente relevante.

O LLM ajustava continuamente suas ações conforme as respostas obtidas do ambiente. Sempre que encontrava novos arquivos, diferentes formatos de credenciais ou endpoints adicionais, modificava automaticamente sua estratégia para concluir a tarefa.

Essa capacidade diferencia agentes inteligentes de scripts tradicionais, que normalmente dependem de comandos previamente definidos e apresentam menor flexibilidade diante de situações inesperadas.

Movimento lateral para sistemas críticos

Expansão da invasão

Após consolidar o acesso inicial, o agente iniciou uma segunda fase voltada ao movimento lateral dentro da infraestrutura.

Segundo o relatório, o objetivo passou a ser um servidor de produção responsável por hospedar um banco de dados MySQL e uma plataforma Nacos utilizada em arquiteturas de microsserviços.

Essa transição evidencia uma característica importante das campanhas modernas de ransomware: o comprometimento inicial normalmente representa apenas o início da operação. O impacto real ocorre quando o invasor consegue alcançar ativos considerados críticos para o funcionamento da organização.

Como o agente ampliou o comprometimento da infraestrutura

Depois de estabelecer persistência e identificar ativos relevantes dentro do ambiente, o agente malicioso direcionou sua atuação para um servidor de produção que hospedava um banco de dados MySQL e uma instância do Alibaba Naming and Configuration Service (Nacos). Segundo a Sysdig, essa etapa demonstra que o objetivo da operação ia além do comprometimento do servidor inicial, buscando alcançar componentes capazes de ampliar significativamente o impacto do ataque.

O movimento lateral representa uma das fases mais críticas de uma invasão. Uma vez ultrapassado o perímetro inicial, o atacante passa a explorar relações de confiança entre sistemas, credenciais compartilhadas e serviços internos para expandir seus privilégios. No incidente analisado, esse comportamento foi automatizado pelo agente baseado em LLM, que utilizou as informações coletadas anteriormente para avançar na infraestrutura.

Essa capacidade de correlacionar informações obtidas durante diferentes fases da invasão evidencia uma mudança importante em relação às campanhas automatizadas tradicionais. Em vez de simplesmente executar uma sequência fixa de comandos, o agente passou a adaptar sua atuação de acordo com o contexto encontrado em cada sistema comprometido.

Exploração do Nacos durante o movimento lateral

Utilização de múltiplos vetores de ataque

De acordo com a Sysdig, o agente utilizou um payload contendo credenciais de root do MySQL e passou a explorar diferentes possibilidades de comprometimento da plataforma Nacos.

Entre as técnicas empregadas estavam a exploração da família de vulnerabilidades de bypass de autenticação identificada como CVE-2021-29441, a falsificação de tokens JWT utilizando a conhecida chave de assinatura padrão do Nacos e a inserção de um administrador backdoor diretamente no banco de dados utilizado pela plataforma.

O relatório demonstra que essas técnicas não foram executadas de forma isolada. O agente avaliava continuamente o resultado das ações anteriores para decidir quais mecanismos deveriam ser empregados na sequência, característica que diferencia um agente inteligente de uma automação convencional.

Capacidade de adaptação durante a exploração

Outro aspecto observado pela Sysdig foi a habilidade do LLM para ajustar dinamicamente sua carga útil durante a execução do ataque.

Segundo o relatório, o modelo modificou o payload para contornar mecanismos de verificação de login, verificou a existência de Funções Definidas pelo Usuário (UDFs), capazes de permitir execução de comandos no sistema operacional, e registrou um marcador indicando a conclusão dessa fase antes do início da implantação do ransomware.

Esse comportamento demonstra que o agente não apenas executava comandos previamente preparados, mas analisava continuamente o ambiente para identificar o método mais adequado para atingir seu objetivo.

A fase de criptografia dos dados

Comprometimento das configurações do serviço

Após concluir o comprometimento do ambiente, o agente iniciou a fase de ransomware propriamente dita.

Segundo a Sysdig, foram criptografados 1.342 itens de configuração existentes no serviço Nacos. Em seguida, foi criada uma tabela de extorsão contendo o pedido de resgate, um endereço para pagamento e um endereço de e-mail para contato.

O relatório destaca ainda que a chave utilizada para criptografia foi gerada aleatoriamente, mas não foi armazenada nem transmitida posteriormente. Na prática, isso impossibilitou a recuperação dos dados criptografados por meio do próprio atacante, tornando a perda das informações ainda mais crítica.

Escalada progressiva da destruição

As cargas úteis analisadas pela Sysdig mostraram que o comportamento do LLM evoluiu durante a execução da campanha.

Inicialmente, o agente realizava operações em nível de registros individuais. Posteriormente, passou a eliminar esquemas completos de banco de dados, descrevendo inclusive sua própria lógica de direcionamento durante a execução das ações.

Esse comportamento reforça que o agente utilizava recursos de raciocínio contextual para compreender as respostas do ambiente e modificar sua estratégia conforme novas informações eram obtidas.

O papel do raciocínio contextual no ataque

Interpretação das respostas do ambiente

Um dos pontos mais relevantes destacados pela Sysdig foi que as cargas úteis continham comentários escritos em linguagem natural descrevendo as ações executadas.

Além disso, o agente corrigia automaticamente determinadas operações quando encontrava falhas durante sua execução, produzindo diagnósticos consistentes antes de prosseguir para as etapas seguintes.

Segundo a empresa, em diferentes momentos o LLM analisou textos retornados pelos sistemas comprometidos e tomou decisões que somente fariam sentido caso essas informações tivessem sido efetivamente compreendidas, e não apenas identificadas por padrões previamente conhecidos.

Diferença em relação às automações convencionais

Ferramentas automatizadas tradicionais normalmente seguem fluxos fixos e dependem de assinaturas, regras ou sequências previamente programadas.

No caso analisado, entretanto, o agente demonstrou capacidade de interpretar o contexto apresentado pelo ambiente, adaptar comandos, corrigir erros encontrados durante a execução e selecionar automaticamente novas estratégias para alcançar seus objetivos.

Essa característica reduz significativamente a necessidade de intervenção humana durante a condução de operações ofensivas complexas.

Os riscos estratégicos para as organizações

Redução da barreira técnica para ataques complexos

Segundo a avaliação da Sysdig, esse incidente demonstra que agentes baseados em LLM reduzem significativamente a barreira necessária para conduzir operações maliciosas.

Em vez de depender exclusivamente de operadores altamente especializados para interpretar resultados e adaptar técnicas de exploração, parte desse processo passa a ser realizada automaticamente pelo próprio modelo de linguagem.

Isso não significa que conhecimentos técnicos deixem de ser importantes, mas evidencia uma tendência de automação crescente das etapas tradicionalmente executadas por especialistas.

Combinação de técnicas já conhecidas

Outro aspecto importante é que o ataque não dependeu exclusivamente de vulnerabilidades inéditas ou de técnicas desconhecidas.

Conforme observado pela Sysdig, o agente combinou vulnerabilidades conhecidas, credenciais encontradas durante o reconhecimento, exploração de serviços expostos e adaptação dinâmica para construir uma cadeia completa de comprometimento.

Essa combinação evidencia que ambientes negligenciados continuam representando um dos principais fatores de risco para organizações que mantêm aplicações críticas acessíveis pela internet.

Lições para a proteção de ambientes corporativos

Redução da superfície de ataque

O caso evidencia a importância de reduzir a exposição direta de servidores de aplicações, repositórios de configuração e contas administrativas acessíveis pela internet.

A exploração inicial ocorreu porque uma instância vulnerável do Langflow permanecia exposta, permitindo que o agente obtivesse execução remota de código e iniciasse toda a cadeia de ataque.

Embora a inteligência artificial tenha desempenhado papel relevante durante a invasão, o vetor inicial continuou sendo uma vulnerabilidade crítica conhecida e explorada ativamente.

Proteção de credenciais e serviços internos

Outro aprendizado importante está relacionado à proteção das credenciais armazenadas em ambientes corporativos.

Durante o reconhecimento, o agente procurou chaves de API, credenciais de nuvem, arquivos de configuração, carteiras de criptomoedas e credenciais de bancos de dados, utilizando essas informações para expandir seu acesso ao ambiente.

O relatório demonstra como a disponibilidade desses elementos influencia diretamente a capacidade do invasor de realizar movimento lateral e comprometer sistemas adicionais.

Monitoramento contínuo de ambientes críticos

Como o agente adaptava suas ações continuamente durante a operação, torna-se cada vez mais importante monitorar comportamentos anômalos em servidores de aplicações, bancos de dados e plataformas de configuração.

Ataques conduzidos por agentes inteligentes podem apresentar sequências diferentes de ações em cada execução, dificultando sua identificação apenas por assinaturas estáticas.

Essa característica reforça a necessidade de mecanismos capazes de observar comportamentos suspeitos ao longo de toda a cadeia de comprometimento.

Perspectivas para a evolução das ameaças baseadas em IA

O caso documentado pela Sysdig representa um exemplo concreto de como agentes baseados em modelos de linguagem podem ser empregados para automatizar operações ofensivas complexas. Em vez de substituir completamente técnicas tradicionais de invasão, a inteligência artificial passou a atuar como elemento de coordenação capaz de integrar diferentes etapas do ataque em uma sequência dinâmica.

Segundo a avaliação apresentada pela empresa, os profissionais responsáveis pela segurança devem esperar um aumento tanto no volume quanto na abrangência desse tipo de campanha à medida que ferramentas baseadas em IA evoluem. Isso torna ainda mais relevante a proteção de servidores expostos, repositórios de configuração e contas administrativas acessíveis pela internet.

Conclusão

O incidente envolvendo o Langflow demonstra uma evolução importante no cenário das ameaças cibernéticas. Embora a exploração inicial tenha utilizado uma vulnerabilidade crítica conhecida, o diferencial da campanha esteve na utilização de um agente baseado em LLM para conduzir automaticamente etapas como reconhecimento, coleta de credenciais, movimento lateral, exploração de novos serviços, adaptação dinâmica das cargas úteis e implantação do ransomware.

O relatório da Sysdig evidencia que a inteligência artificial não criou novas vulnerabilidades, mas aumentou significativamente a capacidade de combinar técnicas já conhecidas em uma cadeia coordenada de ataque. A possibilidade de interpretar informações em linguagem natural, ajustar estratégias durante a execução e corrigir falhas sem intervenção humana representa uma mudança relevante para o cenário de defesa cibernética.

Diante desse contexto, organizações que mantêm aplicações críticas expostas, serviços de configuração acessíveis pela internet e credenciais privilegiadas inadequadamente protegidas passam a enfrentar riscos ainda maiores. A evolução da IA aplicada a operações ofensivas reforça a necessidade de reduzir superfícies de ataque, corrigir vulnerabilidades críticas com agilidade e monitorar continuamente ambientes estratégicos para limitar as oportunidades de comprometimento.