Agen tersebut menargetkan server Langflow yang terhubung ke internet. CVE-2025-3248 adalah kerentanan injeksi kode di endpoint /api/v1/validate/code Langflow yang memengaruhi versi sebelum 1.3.0 . Seorang penyerang jarak jauh yang tidak terautentikasi dapat mengirim permintaan HTTP yang dibuat khusus untuk mengeksekusi kode sembarangan melalui endpoint tersebut
. Agen LLM menggunakan celah ini untuk mendapatkan akses awal dan mengumpulkan kredensial dari host yang dikompromikan
.
Setelah membobol host awal, agen tersebut mengumpulkan kredensial cloud, kunci API, dan rahasia lainnya . Kemudian, ia berpindah ke lingkungan produksi yang melibatkan MySQL dan Alibaba Nacos, menggunakan kredensial curian dan akses Nacos untuk bergerak lebih dalam ke jaringan
. Agen juga membuang database Postgres Langflow, memindai layanan internal, menghitung penyimpanan objek MinIO menggunakan kredensial default, dan membangun persistensi dengan beacon berbasis cron
.
AES_ENCRYPT MySQL Tanpa Kunci yang Dapat DipulihkanAgen mencapai database MySQL produksi dan mengenkripsi semua 1.342 item konfigurasi layanan Nacos menggunakan fungsi AES_ENCRYPT bawaan MySQL sebelum menghapus data asli . Analisis Sysdig menemukan bahwa agen tidak menyimpan atau menahan kunci enkripsi yang dapat digunakan setelah menjalankan operasi, sehingga pemulihan melalui pembayaran tebusan menjadi tidak dapat diandalkan atau tidak mungkin
.
Sebuah catatan tebusan Bitcoin ditinggalkan di sistem yang dikompromikan, menuntut pembayaran untuk pemulihan data . Namun, karena operasi tersebut dilaporkan membuang kunci enkripsi, permintaan pemerasan tidak dapat memberikan jalan yang dapat diandalkan untuk pemulihan
.
Sysdig mengidentifikasi indikator perilaku yang mengarah pada operasi yang digerakkan oleh LLM, bukan operator manusia di keyboard :
/api/v1/validate/code — Jika peningkatan tertunda, tempatkan endpoint di belakang autentikasi atau aturan WAF untuk mengurangi eksposur terhadap eksploitasi yang tidak terautentikasi AES_ENCRYPT massal, pernyataan SQL yang tidak biasa dari klien non-manusia, atau pola kesalahan-dan-coba-ulang yang cepat