Ancaman siber memasuki fase yang jauh lebih mengkhawatirkan ketika malware tak lagi sepenuhnya bergantung pada operator manusia. Di kasus yang diungkap Sysdig, sebuah operasi ransomware bernama JadePuffer diduga mampu merencanakan, menyesuaikan strategi, dan mengeksekusi serangan secara mandiri dengan bantuan agen AI berbasis large language model (LLM).
Jika temuan ini benar, dampaknya besar bagi cara dunia keamanan memandang malware modern. Bukan hanya karena serangannya otomatis, tetapi juga karena sistem tersebut tampak bisa belajar dari hambatan dan mengubah pendekatan saat gagal.
Memanfaatkan Celah Langflow yang Sudah Ditambal
Menurut Sysdig, JadePuffer memulai serangan dengan mengeksploitasi CVE-2025-3248, celah eksekusi kode jarak jauh pada Langflow. Kerentanan itu sebenarnya telah ditambal pada April 2025 dan kemudian masuk daftar kerentanan yang diketahui dieksploitasi oleh CISA Amerika Serikat.
Setelah berhasil masuk ke sistem target, agen AI menjalankan rangkaian aksi yang lazim dilakukan peretas berpengalaman. Malware ini mengumpulkan informasi host, mencari kredensial dan file sensitif, mengekstraksi rahasia cloud, memetakan sumber daya penyimpanan, lalu bergerak lateral ke sistem lain di dalam infrastruktur korban.
Mampu Mengubah Strategi Saat Gagal
Yang paling menonjol dari JadePuffer adalah kemampuannya beradaptasi saat menemui kendala. Dalam laporan yang dikutip www.beritasatu.com, para peneliti melihat agen AI mengubah logika saat mendapat respons XML tak terduga ketika mencoba mengakses penyimpanan objek MinIO.
Alih-alih berhenti, sistem memodifikasi parsing lalu mencoba metode lain hingga berhasil. Ada juga kasus saat proses login gagal, tetapi malware memperbaiki kesalahan dan mencoba autentikasi lagi hanya dalam sekitar 31 detik tanpa intervensi manusia.
| Langkah Serangan JadePuffer | Detail |
|---|---|
| Masuk awal | Eksploitasi CVE-2025-3248 pada Langflow |
| Pengintaian | Mengumpulkan info host, kredensial, dan file sensitif |
| Ekstraksi data | Mengambil rahasia cloud dan memetakan penyimpanan |
| Pergerakan lateral | Menjangkau sistem lain di infrastruktur korban |
| Persistensi | Membuat cron job terjadwal agar tetap bertahan |
Mengenkripsi Data, Lalu Menaruh Catatan Tebusan
Setelah memperoleh akses yang lebih luas, JadePuffer membangun persistensi dengan membuat cron job terjadwal. Dari sana, malware berpindah ke server produksi yang menjalankan Alibaba Nacos dan mengeksploitasi CVE-2021-29441 untuk membuat akun administrator ilegal.
Akses tersebut kemudian dipakai untuk mengenkripsi 1.342 catatan konfigurasi Nacos, menghapus data asli, dan menggantinya dengan catatan tebusan yang meminta pembayaran bitcoin. Sysdig menemukan catatan itu juga memuat komentar bahasa alami yang sangat terperinci, seolah menjelaskan alasan di balik tiap langkah yang diambil.
Jejak yang Mengarah ke Operasi Berbasis AI
Ada sejumlah indikasi yang membuat para peneliti menilai operasi ini sangat mungkin dihasilkan oleh AI. Alamat dompet bitcoin dalam catatan tebusan ternyata mengarah ke dompet contoh yang umum dipakai dalam dokumentasi, bukan alamat pembayaran sungguhan.
Selain itu, malware mengeklaim memakai enkripsi AES-256, tetapi analisis menunjukkan kemungkinan besar sistem tersebut justru menggunakan AES-128 dalam mode ECB. Perbedaan seperti ini menjadi salah satu alasan mengapa operasi itu dianggap memiliki ciri khas hasil generasi AI.
Ancaman Baru, Meski Masih Bertumpu pada Celah Lama
JadePuffer belum menunjukkan kemampuan menciptakan teknik eksploitasi baru, tetapi tingkat otomatisasinya tetap dinilai sebagai lompatan besar. AI di balik serangan itu mampu melakukan pengintaian, meningkatkan hak akses, mempertahankan keberadaan, dan menyebarkan ransomware tanpa harus menunggu arahan pada setiap tahap.
Sysdig menilai temuan ini menjadi bukti bahwa pelaku ancaman berbasis agen AI sudah benar-benar hadir. Di sisi lain, pola perilaku dan gaya pengkodean yang berbeda dari malware tradisional justru bisa membuka peluang baru bagi tim keamanan untuk membangun deteksi yang lebih efektif.
Temuan tersebut juga memperkuat alasan mengapa organisasi perlu segera menambal kerentanan yang dieksploitasi, memperbarui sistem yang terhubung ke internet, dan mengamankan kredensial cloud. Di era serangan berbasis AI, fondasi pertahanan lama tetap menjadi lapisan paling penting.
Source: www.beritasatu.com






