Default
Door Remote - 06 Jul 2026
Vorige week zeiden onderzoekers van cloudbeveiligingsbedrijf Sysdig dat ze het eerste bekende geval van ‘agentic ransomware’ hadden gedocumenteerd. Het was een afpersingsoperatie, genaamd JadePuffer, waarbij een AI-agent – en geen mens – de technische uitvoering van een echte cyberaanval van begin tot eind verzorgde. De agent brak in op een kwetsbare server, stal inloggegevens, verplaatste zich door het netwerk van het doelwit, versleutelde bestanden en schreef zelfs zijn eigen losgeldbrief, waarbij hij zich gaandeweg aanpaste aan obstakels zoals een menselijke hacker dat zou doen. In de berichtgeving over de financiering werd beschreven dat deze ‘zonder enig menselijk toezicht’ werd uitgevoerd, met ‘geen mens aan het toetsenbord’.
Dat is niet helemaal het volledige beeld. In een interview op maandag met CyberScoop verduidelijkte Michael Clark van Sysdig, de senior directeur van het bedrijf voor onderzoek naar bedreigingen, dat er nog steeds een mens nauw bij betrokken was – alleen niet bij de technische uitvoering. “Een mens heeft nog steeds de operatie opgezet en aangestuurd en de infrastructuur erachter ingericht, de command-and-control-server, de staging-server die voor de gestolen gegevens werd gebruikt, en koos een slachtoffer”, zei Clark. De inloggegevens die werden gebruikt om in te breken in de database van het slachtoffer, zo voegde hij eraan toe, werden niet door de AI-agent zelf verzameld; iemand heeft ze afzonderlijk verkregen, via een voorafgaand compromis, en ze aan de operatie overgedragen.
Niets van dit alles is in tegenspraak met de oorspronkelijke bewering van Sysdig, en de technische details van de aanval blijven op zichzelf opmerkelijk – wild zelfs. De agent kwam binnen via een bekende bug in Langflow, een populaire open-source tool voor het bouwen van LLM-apps, stapte vervolgens over naar een productie-MySQL-server en exploiteerde een andere bekende fout om beheerderstoegang te krijgen. Het versleutelde meer dan 1.300 configuratierecords en liet niet alleen een losgeldbriefje achter dat het zelf schreef, maar liet ook een Bitcoin-adres achter waar het losgeld naartoe kon worden gestuurd. Sysdig heeft niet bekendgemaakt wie het doelwit was.
De technieken waren kennelijk vrij gewoon, maar wat opviel was de snelheid en transparantie. De agent repareerde een mislukte aanmelding in 31 seconden en vertelde de hele weg zijn eigen redenering in commentaar in natuurlijke taal.
Eén detail dat aanvankelijk het beeld leek te vertroebelen, is inmiddels opgehelderd. Clark had CyberScoop verteld dat Sysdig ontdekte dat “meerdere modellen werden gebruikt bij de aanval”, daarbij verwijzend naar geoogste sleutels voor OpenAI, Anthropic, DeepSeek en Gemini – taal die de vraag openliet of verschillende modellen actief de verschillende stadia van de inbraak aandreven. Gevraagd om opheldering, vertelde Clark aan TechCrunch dat die sleutels eenvoudigweg deel uitmaakten van wat de agent had gestolen, en geen bewijs waren van de oorzaak ervan.
“De agent beroofde de Langflow-host op zoek naar alles wat waardevol was – API-sleutels van de provider, cloudgegevens, portemonnees voor cryptocurrency en databaseconfiguraties – en die providersleutels maakten deel uit van de buit”, zei hij via e-mail. “Ze geven aan wat de aanvaller de moeite waard vond om te nemen, maar ze vertellen ons niet welk model de beslissingen nam.”
Over het model waarop JadePuffer draait, zei Clark dat Sysdig “niet in staat was het specifieke model dat de agent aanstuurt te identificeren” en geen inzicht heeft in de systeemprompt of configuratie ervan.
De theorie van Microsoft-onderzoeker Geoff McDonald, die enkele dagen geleden op LinkedIn werd aangeboden, is in dat licht de moeite waard om opnieuw te bekijken. McDonald vermoedde dat een open-weight-model met uitgeklede veiligheidstraining, in plaats van een frontier-model, achter de aanval zat, gebaseerd op zijn eigen red-teaming-ervaring waaruit bleek dat de veiligheidslagen van frontier-laboratoria goed stand hielden. Sysdigs eigen verhaal bevestigt of sluit dat niet uit.
De post van McDonald’s waarschuwde ook dat ransomware-campagnes nu vooral worden begrensd door het budget van de aanvaller in plaats van door menselijke inspanning, waardoor de mogelijkheid van ‘duizenden of tienduizenden gelijktijdige campagnes’ wordt vergroot. Die bezorgdheid is iets moeilijker te rijmen met wat Clark maandag beschreef. (Als een mens nog steeds voor elke operatie elk slachtoffer moet kiezen, de infrastructuur moet inrichten en databasereferenties moet verkrijgen, is dat op zijn minst een knelpunt.)
Hoe dan ook, vertelde Clark aan CyberScoop. Hoewel Sysdig nog niet heeft gezien dat dezelfde operatie andere slachtoffers trof, verwacht hij, gegeven hoe goedkoop het is om een agent te runnen, dat dit zal veranderen.
Dat is niet helemaal het volledige beeld. In een interview op maandag met CyberScoop verduidelijkte Michael Clark van Sysdig, de senior directeur van het bedrijf voor onderzoek naar bedreigingen, dat er nog steeds een mens nauw bij betrokken was – alleen niet bij de technische uitvoering. “Een mens heeft nog steeds de operatie opgezet en aangestuurd en de infrastructuur erachter ingericht, de command-and-control-server, de staging-server die voor de gestolen gegevens werd gebruikt, en koos een slachtoffer”, zei Clark. De inloggegevens die werden gebruikt om in te breken in de database van het slachtoffer, zo voegde hij eraan toe, werden niet door de AI-agent zelf verzameld; iemand heeft ze afzonderlijk verkregen, via een voorafgaand compromis, en ze aan de operatie overgedragen.
Niets van dit alles is in tegenspraak met de oorspronkelijke bewering van Sysdig, en de technische details van de aanval blijven op zichzelf opmerkelijk – wild zelfs. De agent kwam binnen via een bekende bug in Langflow, een populaire open-source tool voor het bouwen van LLM-apps, stapte vervolgens over naar een productie-MySQL-server en exploiteerde een andere bekende fout om beheerderstoegang te krijgen. Het versleutelde meer dan 1.300 configuratierecords en liet niet alleen een losgeldbriefje achter dat het zelf schreef, maar liet ook een Bitcoin-adres achter waar het losgeld naartoe kon worden gestuurd. Sysdig heeft niet bekendgemaakt wie het doelwit was.
De technieken waren kennelijk vrij gewoon, maar wat opviel was de snelheid en transparantie. De agent repareerde een mislukte aanmelding in 31 seconden en vertelde de hele weg zijn eigen redenering in commentaar in natuurlijke taal.
Eén detail dat aanvankelijk het beeld leek te vertroebelen, is inmiddels opgehelderd. Clark had CyberScoop verteld dat Sysdig ontdekte dat “meerdere modellen werden gebruikt bij de aanval”, daarbij verwijzend naar geoogste sleutels voor OpenAI, Anthropic, DeepSeek en Gemini – taal die de vraag openliet of verschillende modellen actief de verschillende stadia van de inbraak aandreven. Gevraagd om opheldering, vertelde Clark aan TechCrunch dat die sleutels eenvoudigweg deel uitmaakten van wat de agent had gestolen, en geen bewijs waren van de oorzaak ervan.
“De agent beroofde de Langflow-host op zoek naar alles wat waardevol was – API-sleutels van de provider, cloudgegevens, portemonnees voor cryptocurrency en databaseconfiguraties – en die providersleutels maakten deel uit van de buit”, zei hij via e-mail. “Ze geven aan wat de aanvaller de moeite waard vond om te nemen, maar ze vertellen ons niet welk model de beslissingen nam.”
Over het model waarop JadePuffer draait, zei Clark dat Sysdig “niet in staat was het specifieke model dat de agent aanstuurt te identificeren” en geen inzicht heeft in de systeemprompt of configuratie ervan.
De theorie van Microsoft-onderzoeker Geoff McDonald, die enkele dagen geleden op LinkedIn werd aangeboden, is in dat licht de moeite waard om opnieuw te bekijken. McDonald vermoedde dat een open-weight-model met uitgeklede veiligheidstraining, in plaats van een frontier-model, achter de aanval zat, gebaseerd op zijn eigen red-teaming-ervaring waaruit bleek dat de veiligheidslagen van frontier-laboratoria goed stand hielden. Sysdigs eigen verhaal bevestigt of sluit dat niet uit.
De post van McDonald’s waarschuwde ook dat ransomware-campagnes nu vooral worden begrensd door het budget van de aanvaller in plaats van door menselijke inspanning, waardoor de mogelijkheid van ‘duizenden of tienduizenden gelijktijdige campagnes’ wordt vergroot. Die bezorgdheid is iets moeilijker te rijmen met wat Clark maandag beschreef. (Als een mens nog steeds voor elke operatie elk slachtoffer moet kiezen, de infrastructuur moet inrichten en databasereferenties moet verkrijgen, is dat op zijn minst een knelpunt.)
Hoe dan ook, vertelde Clark aan CyberScoop. Hoewel Sysdig nog niet heeft gezien dat dezelfde operatie andere slachtoffers trof, verwacht hij, gegeven hoe goedkoop het is om een agent te runnen, dat dit zal veranderen.

