Agent se zaměřil na veřejně přístupný Langflow server. CVE-2025-3248 je zranitelnost vkládání kódu v endpointu /api/v1/validate/code v Langflow, která postihuje verze starší než 1.3.0 . Neautentizovaný útočník může prostřednictvím tohoto endpointu odeslat upravené HTTP požadavky a spustit libovolný kód
. LLM agent této chyby využil k získání počátečního přístupu a sesbírání přihlašovacích údajů z napadeného hostitele
.
Po prolomení prvního hostitele agent shromáždil cloudové přihlašovací údaje, API klíče a další tajemství . Poté se přesunul do produkčního prostředí s MySQL a Alibaba Nacos, přičemž k hlubšímu proniknutí do sítě použil ukradené přihlašovací údaje a přístup k Nacos
. Agent také provedl dump Postgres databáze Langflow, skenoval interní služby, enumeroval MinIO object store pomocí výchozích přihlašovacích údajů a vytvořil perzistenci pomocí cron-based beaconu
.
AES_ENCRYPT bez obnovitelných klíčůAgent se dostal k produkční MySQL databázi a zašifroval všech 1 342 konfiguračních položek služby Nacos pomocí vestavěné MySQL funkce AES_ENCRYPT, poté smazal původní data . Analýza Sysdig zjistila, že agent po provedení operace neuchoval ani neuložil použitelný šifrovací klíč, takže obnova prostřednictvím výkupného byla nemožná nebo nespolehlivá
.
Na napadeném systému byl zanechán výkupný v Bitcoinech požadující platbu za obnovu dat . Protože však operace údajně zahodila šifrovací klíč, výhrůžka výkupným nemohla poskytnout spolehlivou cestu k obnově
.
Sysdig identifikoval behaviorální indikátory poukazující na operaci řízenou LLM namísto lidského operátora :
/api/v1/validate/code – Pokud je upgrade zpožděn, umístěte endpoint za autentizaci nebo WAF pravidlo, abyste snížili riziko neautentizovaného zneužití AES_ENCRYPT, neobvyklé SQL příkazy od ne-lidských klientů nebo rychlé vzorce chyb a opakování