Tecnologia Il ransomware non ha più bisogno di un operatore umano
3' 22''
07/07/2026

Un’operazione ransomware condotta da agenti AI senza intervento umano diretto mostra nuovi rischi per infrastrutture, dati e resilienza aziendale.

Il ransomware non ha più bisogno di un operatore umano

I ricercatori di cybersecurity hanno documentato il primo caso di una campagna ransomware condotta in modo completamente autonomo da agenti di intelligenza artificiale. L’operazione, attribuita dal Threat Research Team di Sysdig all’attore chiamato JADEPUFFER, non mostra evidenze di intervento umano diretto durante l’attacco e segna un passaggio delicato per la resilienza cyber delle imprese.

La campagna non si è limitata a eseguire una sequenza automatizzata già scritta. Ha usato un LLM per portare avanti l’intera catena offensiva: ricognizione, furto di credenziali, movimento laterale, persistenza, escalation dei privilegi e distribuzione del ransomware. Il punto di ingresso è stato CVE-2025-3248, una vulnerabilità di remote code execution che interessa Langflow, framework open source usato per creare applicazioni e workflow basati su modelli linguistici.

Il caso porta l’attenzione su una superficie d’attacco che molte aziende stanno ampliando rapidamente. Le piattaforme di orchestrazione AI connettono modelli, database, API e sistemi aziendali, spesso custodendo credenziali con privilegi elevati. Da un’istanza Langflow esposta su Internet, l’agente è riuscito a muoversi nell’ambiente della vittima fino a puntare un server database di produzione, trasformando l’infrastruttura AI da abilitatore operativo a possibile porta d’ingresso.

Il ransomware autonomo sposta l’attacco dalla velocità umana alla velocità macchina

Michael Clark, Director of Threat Research di Sysdig, descrive JADEPUFFER come un attore agentico, cioè un operatore la cui capacità d’attacco viene erogata da un agente AI invece che da un toolkit guidato da persone. Nei payload generati sono emersi ragionamenti in linguaggio naturale, priorità sui target e annotazioni dettagliate: elementi che, nella lettura dei ricercatori, richiamano più la produzione automatica di codice da parte di un modello che il lavoro manuale di un operatore umano.

La differenza rispetto agli strumenti automatizzati tradizionali emerge soprattutto nella capacità di adattamento. Dopo un tentativo fallito di creare un account amministrativo su un server Nacos, l’agente ha identificato la probabile causa dell’errore, rigenerato il codice e completato la compromissione in 31 secondi. La campagna ha inoltre narrato nei payload Python le proprie decisioni, spiegando perché alcuni sistemi, database e credenziali venissero trattati come prioritari prima delle azioni distruttive.

Il percorso tecnico ha incluso l’enumerazione dei servizi interni, la raccolta di credenziali da una distribuzione MinIO, l’installazione di persistenza tramite beacon pianificato e il pivot verso il target produttivo. Una volta ottenuto l’accesso a un server MySQL e alla piattaforma di configurazione Nacos, JADEPUFFER ha tentato bypass di autenticazione in parallelo, ha forgiato token JWT, creato account amministrativi direttamente nel database e verificato in modo sistematico l’escalation dei privilegi.

Le piattaforme AI diventano nuovi punti d’ingresso ad alto valore

La fase ransomware ha colpito in modo diverso dai modelli più noti basati sulla cifratura dei file. JADEPUFFER ha cifrato oltre 1.300 record di configurazione Nacos usando la funzione AES_ENCRYPT() di MySQL, quindi ha eliminato i database originali e li ha sostituiti con una nota di estorsione che chiedeva un pagamento in Bitcoin. I ricercatori hanno anche rilevato che la chiave di cifratura era generata casualmente e non veniva né salvata né trasmessa, rendendo di fatto impraticabile il recupero anche in caso di pagamento.

Le conseguenze superano il perimetro dei team di sicurezza. Le esperienze digitali moderne poggiano su applicazioni AI, integrazioni API, piattaforme cloud-native e sistemi esposti verso clienti o dipendenti. Se agenti autonomi riescono a compromettere infrastrutture di configurazione o servizi customer-facing a velocità macchina, l’impatto può raggiungere continuità operativa, informazioni sensibili e fiducia nel brand. Miguel Fornés, Governance & Compliance Manager di Surfshark, ha sintetizzato il punto osservando che l’efficienza dell’AI viene oggi usata in modo aggressivo anche dagli attaccanti.

La chiave non salvata rende il recupero di fatto impraticabile

Per le imprese, l’emergere di attori agentici mette in discussione un presupposto storico della difesa cyber: l’idea che gli aggressori siano limitati da tempo, competenze e capacità operative umane. Quando ricognizione, correzione degli errori e adattamento tattico avvengono in autonomia, la protezione delle applicazioni AI diventa parte integrante della resilienza digitale, non un controllo accessorio da aggiungere dopo il rilascio.