JadePuffer: Der erste Ransomware-Angriff, den ein KI-Agent ausgeführt hat
6 July 2026 · 8 Min. Lesezeit
Solange es Ransomware gibt, saß ein Mensch an der Tastatur. Jemand wählte das Ziel aus, testete gestohlene Zugangsdaten, schrieb die Skripte und behob Fehler, wenn etwas nicht funktionierte. Anfang Juli 2026 hat dieses Modell aufgehört, das einzige zu sein.
Am 1. Juli veröffentlichte das Threat-Research-Team von Sysdig die Analyse einer Operation, die sie JadePuffer getauft haben. Es handelt sich um den ersten dokumentierten Fall, in dem die gesamte taktische Ausführung eines Angriffs, vom Erstzugriff über die Datenzerstörung bis zur Hinterlegung der Erpressernachricht, von einem KI-Agenten auf Basis eines großen Sprachmodells durchgeführt wurde. Kein vorab geschriebenes Skript, sondern ein System, das eigene Entscheidungen traf, sich an Hindernisse anpasste und seine Fehler in Echtzeit selbst korrigierte.
Wer ein kleines oder mittleres Unternehmen führt, sollte das weder als Science-Fiction noch als Konzernproblem abtun. Es ist eine Vorwarnung, die jeden betrifft, der irgendetwas im Internet exponiert hat.
Was genau passiert ist
Der Angriff begann auf eine Weise, die leider völlig alltäglich ist. Im Internet stand eine exponierte Instanz von Langflow, einem beliebten Open-Source-Framework für den Bau von KI-Anwendungen. Diese Instanz trug eine bekannte Schwachstelle, CVE-2025-3248, veröffentlicht mehr als ein Jahr zuvor, die es einem Angreifer ohne jede Anmeldung erlaubt, beliebigen Code auf dem Server auszuführen.
Einmal drin, tat der Agent, was auch ein erfahrener menschlicher Angreifer tun würde, nur schneller. Er inventarisierte das System, durchsuchte die Umgebung nach Geheimnissen und wurde fündig: API-Schlüssel für mehrere KI-Dienste, Cloud-Zugangsdaten, Datenbankzugänge. Er kopierte die Postgres-Datenbank hinter der Langflow-Instanz und prüfte, welche internen Dienste erreichbar waren. Für den dauerhaften Zugriff richtete er einen Cron-Job ein, der sich alle 30 Minuten bei der Infrastruktur des Angreifers meldete.
Das eigentliche Ziel war jedoch nie der Langflow-Server. Von dort schwenkte der Agent auf einen Produktionsserver mit einer MySQL-Datenbank und dem Konfigurationsdienst Alibaba Nacos. Nacos griff er über eine Kombination alter Schwächen an: CVE-2021-29441, eine Authentifizierungsumgehung aus dem Jahr 2021, und einen standardmäßigen JWT-Signaturschlüssel, den nie jemand geändert hatte.
Das Finale war destruktiv. Der Agent verschlüsselte alle 1.342 Nacos-Konfigurationseinträge, löschte die Originaltabellen und legte in der Datenbank eine Erpressertabelle an, mit Forderung, Bitcoin-Adresse und Kontakt-E-Mail.
Die 31 Sekunden, die alles verändern
Das wichtigste Detail der gesamten Analyse ist keine einzelne Technik. Alles, was JadePuffer getan hat, ist seit Jahren bekannt. Das wichtigste Detail ist die Geschwindigkeit der Anpassung.
An einer Stelle versuchte der Agent, ein gefälschtes Administratorkonto auf dem Nacos-Server anzulegen. Der erste Versuch schlug fehl. Der Agent las die Fehlermeldung, änderte seinen Ansatz, erzeugte eine korrigierte Payload und meldete sich erfolgreich an. Vom Fehlschlag bis zur funktionierenden Lösung vergingen 31 Sekunden.
Ein erfahrener menschlicher Operator braucht für denselben Zyklus, Fehler lesen, diagnostizieren, korrigieren, erneut versuchen, bestenfalls mehrere Minuten. Im Verlauf der Operation führte der Agent mehr als 600 unterschiedliche, zielgerichtete Payloads in einem sehr kurzen Zeitfenster aus. Dieses Tempo kann kein Mensch halten.
Für die Verteidigung bedeutet das eines: Die Zeit, einen Einbruch zu bemerken und zu reagieren, schrumpft dramatisch. Ein Angriff, der früher Stunden oder Tage dauerte, kann sich jetzt in Minuten abspielen.
Eine wichtige Nuance: Der Mensch ist nicht verschwunden
Fairerweise gehört auch das gesagt, was in reißerischen Schlagzeilen verloren geht. Der Mensch wurde aus dieser Geschichte nicht vollständig entfernt. Laut den Sysdig-Forschern hat ein menschlicher Operator weiterhin die Infrastruktur aufgebaut, den Command-and-Control-Server, den Staging-Server für gestohlene Daten, und das Opfer ausgewählt. Auch die Root-Zugangsdaten für den MySQL-Server stammten nicht aus der Umgebung des Opfers, was darauf hindeutet, dass der Operator sie durch eine frühere Kompromittierung beschafft hat.
Autonom war die taktische Ausführung. Und genau das ist der Punkt. Bis vor Kurzem brauchte ein solcher Angriff ein Team fähiger Leute. Heute genügen ein Operator mit durchschnittlichen Kenntnissen und ein KI-Agent. Die Einstiegshürde für eine komplette Ransomware-Operation ist auf die Kosten gesunken, einen Agenten zu betreiben. Und wenn dieser Agent auf gestohlenen API-Schlüsseln läuft, liegen diese Kosten nahe null.
Warum Zahlen nicht geholfen hätte
Ein weiteres Detail sollte sich jeder Unternehmer merken. Der Schlüssel, mit dem der Agent die Daten verschlüsselte, wurde zufällig erzeugt, einmal in der Konsole ausgegeben und nirgendwo gespeichert oder übertragen. Mit anderen Worten: Die Daten des Opfers sind unwiederbringlich, selbst wenn das Lösegeld gezahlt worden wäre.
Bei klassischer Ransomware will der Angreifer bezahlt werden, also liegt es in seinem Interesse, dass die Entschlüsselung funktioniert. Bei einem schlecht konfigurierten autonomen Agenten kann die destruktive Phase ablaufen, ohne dass irgendjemand einen Wiederherstellungsprozess vorgesehen hat. Für das Opfer ist das Ergebnis schlimmer: keine Verhandlung, keine Entschlüsselung, nur die Wiederherstellung aus dem Backup.
Wenn das Backup nicht existiert, oder existiert, aber nie getestet wurde, endet die Geschichte genau dort.
Was das für Ihr Unternehmen bedeutet
JadePuffer hat keinen Konzern mit eigenem Sicherheitsteam angegriffen, sondern vernachlässigte, im Internet exponierte Infrastruktur mit jahrealten Schwachstellen und unveränderten Standardeinstellungen. Genau die Art von Infrastruktur, die viele kleine und mittlere Unternehmen heute betreiben.
Jeder Einstiegspunkt dieses Angriffs geht auf ein Versäumnis bei der Grundhygiene zurück: ein Dienst im Internet, der nicht exponiert sein müsste, eine über ein Jahr alte, ungepatchte Schwachstelle, Geheimnisse und Passwörter an Orten, an denen sie nichts zu suchen haben, nie geänderte Standardzugangsdaten, privilegierte Konten ohne jede Einschränkung.
Nichts davon erfordert teure Sicherheitssoftware. Es erfordert Disziplin und jemanden, der sich systematisch um die Infrastruktur kümmert. Für Unternehmen im DACH-Raum kommt hinzu: Mit NIS2 und den entsprechenden nationalen Umsetzungen ist genau diese Grundhygiene keine Empfehlung mehr, sondern zunehmend eine rechtliche Pflicht mit persönlicher Haftung der Geschäftsführung.
Fünf Schritte, die Sie jetzt umsetzen sollten
- Inventarisieren Sie, was bei Ihnen im Internet exponiert ist. Man kann nicht verteidigen, wovon man nicht weiß, dass es existiert. Jeder von außen erreichbare Dienst braucht einen Grund, erreichbar zu sein.
- Patchen Sie bekannte Schwachstellen. JadePuffer kam durch eine ein Jahr zuvor veröffentlichte Lücke herein und bewegte sich weiter durch eine Lücke aus dem Jahr 2021. Angreifer warten nicht auf neue Löcher, solange alte offen stehen.
- Ändern Sie alle Standardzugangsdaten und Standardschlüssel. Ein Standardpasswort oder ein werkseitiger Signaturschlüssel ist dasselbe wie eine unverschlossene Tür.
- Holen Sie Geheimnisse aus Konfigurationen und Umgebungen heraus. API-Schlüssel und Passwörter in Umgebungsvariablen und Konfigurationsdateien sind die erste Beute jedes Einbruchs. Nutzen Sie ein dediziertes Secrets-Management.
- Testen Sie Ihre Backups, nicht nur, dass sie existieren, sondern dass sich daraus tatsächlich wiederherstellen lässt. In einer Welt, in der die Zahlung des Lösegelds nichts garantiert, ist ein geprüftes Backup mit unveränderlichen Kopien außerhalb der Produktion die einzige echte Versicherungspolice.
Angriffe in Maschinengeschwindigkeit erfordern systematische Verteidigung
Wenn Angriffe jetzt in Maschinengeschwindigkeit erfolgen, ist eine Verteidigung, die aus gelegentlichen Eingriffen besteht, wenn etwas klemmt, keine Verteidigung mehr. Gebraucht wird ein System: regelmäßige Inventur der exponierten Infrastruktur, Patch-Disziplin, Monitoring, das ungewöhnliches Verhalten bemerkt, und eine Backup-Architektur, die auch den schlimmsten Fall übersteht.
Genau das ist die Logik hinter unserem Service INTO Secure. Wir verkaufen keine Angst, wir verkaufen Disziplin: dokumentiert, überprüfbar und auf die Größe Ihres Unternehmens zugeschnitten. Wenn Sie wissen möchten, wie Ihre Infrastruktur einem Szenario wie diesem standhalten würde, kontaktieren Sie uns für ein Security Assessment.
Quelle: Analyse des Sysdig Threat Research Teams, veröffentlicht am 1. Juli 2026.
Soll das jemand für Sie regeln, ohne Drama?
INTO MSP betreut Security, Backup und IT für kleine und mittlere Unternehmen. Schritt eins: ein kurzer, unverbindlicher Check.
IT-Security → Kontakt