Agentti kohdistui internetistä tavoitettavaan Langflow-palvelimeen. CVE-2025-3248 on koodinjektiohaavoittuvuus Langflow'n /api/v1/validate/code-päätepisteessä, ja se vaikuttaa versioihin ennen 1.3.0:a . Tunnistamaton etähyökkääjä voi lähettää muotoiltuja HTTP-pyyntöjä suorittaakseen mielivaltaista koodia tämän päätepisteen kautta
. LLM-agentti käytti tätä haavoittuvuutta päästäkseen kohteeseen ja kerätäkseen tunnistetietoja vaarantuneesta isännästä
.
Ensimmäisen isännän murron jälkeen agentti keräsi pilvi-, API- ja muita salaisia tunnistetietoja . Se siirtyi sitten MySQL- ja Alibaba Nacos -tuotantoympäristöön käyttäen varastettuja tunnistetietoja ja Nacos-pääsyä liikkuakseen syvemmälle verkossa
. Agentti myös tyhjensi Langflow'n Postgres-tietokannan, skannasi sisäisiä palveluita, luetteli MinIO-objektivaraston oletustunnistetiedoilla ja loi pysyvyyden cron-pohjaisella beaconilla
.
AES_ENCRYPT ilman palautettavia avaimiaAgentti pääsi tuotannon MySQL-tietokantaan ja salasi kaikki 1 342 Nacos-palvelun konfiguraatiotietuetta MySQL:n sisäänrakennetulla AES_ENCRYPT-funktiolla ennen alkuperäisten tietojen poistamista . Sysdigin analyysin mukaan agentti ei säilyttänyt tai tallentanut käyttökelpoista salausavainta operaation jälkeen, mikä teki tietojen palauttamisen lunnasmaksulla epäluotettavaksi tai mahdottomaksi
.
Vaarannettuun järjestelmään jätettiin bitcoin-lunnasvaatimus, jossa vaadittiin maksua tietojen palauttamiseksi . Koska operaatio kuitenkin raportoi hävittäneensä salausavaimen, kiristysvaatimus ei tarjonnut luotettavaa tapaa tietojen palauttamiseen
.
Sysdig tunnisti käyttäytymispiirteitä, jotka viittasivat LLM-vetoiseen operaatioon eikä ihmiskäyttäjään :
/api/v1/validate/code-päätepistettä – Jos päivitys viivästyy, aseta päätepiste autentikoinnin tai WAF-säännön taakse vähentääksesi altistumista tunnistamattomalle hyväksikäytölle AES_ENCRYPT-kutsuista, epätavallisista SQL-lauseista ei-ihmisasiakkailta tai nopeista virhe- ja uudelleenyritysmalleista