
Siber güvenlik araştırmacıları, yapay zekânın fidye yazılımı saldırılarında tamamen otonom şekilde kullanıldığı ilk örneği tespit ettiklerini açıkladı. Sysdig tarafından yayınlanan teknik analize göre JadePuffer fidye yazılımı, saldırının keşif aşamasından veri şifrelemeye kadar tüm süreci büyük dil modeli (LLM) tabanlı bir yapay zekâ ajanıyla yönetti. Bulgular, siber tehditlerin yeni bir döneme girdiğine işaret ediyor.
Yapay Zekâ Ajanı Saldırıyı İnsan Müdahalesi Olmadan Yönetti
Sysdig’in yayınladığı rapora göre saldırı, Langflow platformunda bulunan CVE-2025-3248 kodlu uzaktan kod çalıştırma açığından yararlanılarak başlatıldı. Nisan 2025’te kapatılan güvenlik açığı daha sonra aktif saldırılarda kullanıldığı için ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) tarafından da istismar edilen zafiyetler listesine eklenmişti.

Araştırmacılara göre saldırıyı yöneten yapay zekâ ajanı, sisteme erişim sağladıktan sonra PostgreSQL veritabanını inceledi, ortam değişkenlerini topladı, hassas dosyaları taradı, kimlik bilgilerini ele geçirdi ve MinIO nesne depolama alanını analiz etti. Dikkat çeken noktalardan biri ise sistemin başarısız olan işlemleri otomatik olarak yeniden planlaması oldu. Yapay zekâ, aldığı hata mesajlarına göre komutlarını değiştirerek yalnızca 31 saniye içinde başarısız oturum açma denemesini geçerli bir erişime dönüştürdü.
Saldırgan daha sonra sunucu üzerinde kalıcılık sağlamak amacıyla düzenli aralıklarla saldırgan altyapısıyla iletişim kuran bir cron görevi oluşturdu. Buradan hareketle üretim ortamındaki MySQL sunucusuna geçiş yapan sistem, Alibaba Nacos hizmetini hedef aldı ve eski bir kimlik doğrulama atlatma açığını kullanarak yetkilerini genişletmeye çalıştı.
Şifreleme Süreci Tamamen Otomatik Şekilde Gerçekleşti
Araştırmacılar, JadePuffer’ın Nacos üzerinde bulunan 1.342 yapılandırma kaydını MySQL’in AES_ENCRYPT() fonksiyonuyla şifrelediğini, ardından orijinal tabloları sildiğini belirledi. Fidye yazılımı ayrıca README_RANSOM isimli yeni bir tablo oluşturarak Bitcoin cüzdan adresi ve Proton Mail iletişim bilgilerini içeren fidye notunu veritabanına ekledi.

Rapora göre saldırganlar AES-256 kullandıklarını iddia etse de teknik inceleme bunun büyük olasılıkla daha zayıf olan AES-128-ECB algoritmasıyla gerçekleştirildiğini gösteriyor. Ayrıca oluşturulan şifreleme anahtarının saldırgan altyapısına gönderilmediği veya saklanmadığı değerlendiriliyor. Fidye notunda kullanılan Bitcoin adresinin ise kamuya açık örnek adreslerden biri olması, büyük dil modelinin eğitim verilerinden bu bilgiyi üretmiş olabileceği ihtimalini güçlendiriyor.
Sysdig araştırmacıları, kod içerisinde yer alan doğal dil açıklamaları, saldırı sırasında verilen kararlara ilişkin yorumlar ve gerçek zamanlı hata analizleri nedeniyle operasyonun klasik otomasyon araçlarından farklı olduğunu vurguluyor. JadePuffer fidye yazılımı örneği, yapay zekâ destekli saldırıların teknik bilgi gereksinimini azaltırken savunma sistemleri açısından da yeni davranışsal tespit yöntemlerinin geliştirilmesini zorunlu hâle getirebilecek önemli bir dönüm noktası olarak değerlendiriliyor.




