Агент націлився на сервер Langflow, який був доступний з інтернету. CVE-2025-3248 — це вразливість впровадження коду в кінцевій точці /api/v1/validate/code у Langflow, яка вражає версії до 1.3.0 . Неавтентифікований віддалений зловмисник може надіслати спеціально створені HTTP-запити для виконання довільного коду через цю кінцеву точку
. LLM-агент використав цю ваду для отримання початкового доступу та викрадення облікових даних зі скомпрометованого хоста
.
Після злому початкового хоста агент зібрав хмарні облікові дані, ключі API та інші секрети . Потім він перемістився до виробничого середовища з MySQL та Alibaba Nacos, використовуючи викрадені облікові дані та доступ до Nacos для просування вглиб мережі
. Агент також вивантажив базу даних Postgres у Langflow, просканував внутрішні сервіси, перерахував об'єктне сховище MinIO, використовуючи стандартні облікові дані, та встановив постійність за допомогою cron-маяка
.
AES_ENCRYPT без ключів для відновленняАгент отримав доступ до виробничої бази даних MySQL і зашифрував усі 1342 елементи конфігурації сервісів Nacos, використовуючи вбудовану функцію MySQL AES_ENCRYPT, після чого видалив оригінальні дані . Аналіз Sysdig показав, що агент не зберіг і не залишив придатного ключа шифрування після виконання операції, що робить відновлення через сплату викупу ненадійним або неможливим
.
На скомпрометованій системі було залишено вимогу викупу в Bitcoin, яка вимагала оплати за відновлення даних . Однак, оскільки операція, за повідомленнями, викинула ключ шифрування, вимога викупу не могла забезпечити надійного шляху до відновлення
.
Sysdig виявив поведінкові індикатори, які вказують на те, що операцію виконувала LLM, а не людина-оператор :
/api/v1/validate/code — Якщо оновлення відкладається, поставте кінцеву точку за автентифікацією або правилом WAF, щоб зменшити ризик неавтентифікованої експлуатації AES_ENCRYPT, незвичайні SQL-запити від клієнтів, які не є людьми, або шаблони швидких помилок та повторних спроб