
นักวิจัยพบสิ่งที่เชื่อว่าเป็นเคสแรกที่มีการบันทึกไว้ คือปฏิบัติการ Ransomware ชื่อ JadePuffer ซึ่งถูกดำเนินการโดย AI Agent ที่ขับเคลื่อนด้วย Large Language Model (LLM) ตลอดทั้งกระบวนการ
บริษัทด้าน Cloud Security ชื่อ Sysdig ระบุว่า JadePuffer ใช้ Autonomous AI Agent เป็นผู้ดำเนินการโจมตีเกือบทุกขั้นตอน ตั้งแต่การทำ Reconnaissance เพื่อสำรวจ และเก็บข้อมูลของเป้าหมาย, ขโมยข้อมูล Credential, เคลื่อนที่ไปยังระบบอื่นภายในเครือข่าย (Lateral Movement), สร้างกลไกให้ยังคงเข้าถึงระบบได้อย่างต่อเนื่อง (Persistence), ยกระดับสิทธิ์การเข้าถึง (Privilege Escalation) และสุดท้ายเข้ารหัสข้อมูลของเหยื่อเพื่อเรียกค่าไถ่ (Data Encryption)
นักวิจัยระบุว่า ระหว่างการโจมตีระบบ AI Agent สามารถปรับเปลี่ยนวิธีการทำงานได้เองเมื่อพบอุปสรรค หรือการดำเนินการล้มเหลว โดยมีลักษณะการตอบสนองคล้ายกับผู้โจมตีที่เป็นมนุษย์
Sysdig อธิบายว่า “ปฏิบัติการนี้สามารถปรับตัวได้แบบ Real-time โดยจะลองดำเนินการใหม่เมื่อขั้นตอนใดล้มเหลว พร้อมทั้งปรับพารามิเตอร์ให้เหมาะสมกว่าเดิม ในเหตุการณ์หนึ่ง AI Agent เปลี่ยนจากการ Login ที่ล้มเหลว ไปเป็นวิธีที่สามารถเข้าสู่ระบบได้สำเร็จภายในเวลาเพียง 31 วินาที”
จาก Initial Access ไปจนถึงการเข้ารหัสข้อมูล
JadePuffer ได้สิทธิ์เข้าสู่ระบบของเหยื่อด้วยการโจมตีช่องโหว่ CVE-2025-3248 ซึ่งเป็นช่องโหว่ Unauthenticated Remote Code Execution (RCE) ใน Langflow เฟรมเวิร์กโอเพนซอร์สยอดนิยมที่ใช้สำหรับพัฒนาแอปพลิเคชันที่ทำงานร่วมกับ LLM
ผู้พัฒนาได้ออกแพตช์แก้ไขช่องโหว่นี้เมื่อวันที่ 1 เมษายน 2025 และในช่วงต้นเดือน พฤษภาคม 2025 CISA ได้เพิ่มช่องโหว่ดังกล่าวลงในรายการ Known Exploited Vulnerabilities (KEV) หลังพบว่ามีการนำไปใช้โจมตีระบบที่เปิดให้เข้าถึงจากอินเทอร์เน็ต ซึ่งมักถูกติดตั้งโดยมีมาตรการ Hardening เพียงเล็กน้อย แต่กลับมีข้อมูลสำคัญอย่าง Cloud Credentials และ API Keys เก็บอยู่ภายใน
หลังจากใช้ช่องโหว่ CVE-2025-3248 เพื่อรันโค้ดบนเครื่องเป้าหมายได้สำเร็จ AI Agent ได้ดำเนินการโจมตีต่อเป็นลำดับ ได้แก่ การดึงข้อมูลจากฐานข้อมูล PostgreSQL ของ Langflow, รวบรวมข้อมูลของเครื่อง (Host Information), ค้นหา Environment Variables และไฟล์ที่มีข้อมูลสำคัญ, ดึง Credential ที่พบ และสำรวจ MinIO Object Store เพื่อค้นหาข้อมูล หรือทรัพยากรที่สามารถเข้าถึงได้
Sysdig ระบุว่า สิ่งที่น่าสนใจคือ AI Agent แสดงให้เห็นถึงความสามารถในการปรับตัวระหว่างการสำรวจ MinIO ตัวอย่างเช่น หาก API Request ครั้งแรกได้รับผลลัพธ์กลับมาในรูปแบบ XML แทนที่จะเป็น JSON ตามที่คาดไว้ AI Agent จะปรับ Logic สำหรับการ Parse ข้อมูลใน Request ถัดไปให้รองรับรูปแบบ XML โดยอัตโนมัติ ก่อนดำเนินการโจมตีต่อไป
จากนั้น JadePuffer ได้สร้าง Persistence บนเครื่องที่รัน Langflow โดยติดตั้ง Cron Job ไว้บนเซิร์ฟเวอร์ และตั้งค่าให้เครื่องติดต่อกลับไปยังโครงสร้างพื้นฐานของผู้โจมตีทุก ๆ 30 นาที เพื่อรักษาช่องทางการเข้าถึงระบบไว้ แม้หลังจากการโจมตีในช่วงแรกจะสิ้นสุดลง
หลังจากยึดเครื่อง Langflow ได้แล้ว ผู้โจมตีใช้เครื่องดังกล่าวเป็นจุด Pivot ไปยัง Production MySQL Server ที่รัน Alibaba Nacos (Naming and Configuration Service) โดยใช้ Root Credentials อย่างไรก็ตาม Sysdig ระบุว่า ยังไม่สามารถระบุได้ว่า Credential ดังกล่าวถูกขโมย หรือได้มาจากแหล่งใด
จากนั้นผู้โจมตีได้ส่ง Payload หลายรูปแบบเพื่อโจมตี Nacos ซึ่งหนึ่งในนั้นเป็นการใช้ประโยชน์จากช่องโหว่ CVE-2021-29441 ซึ่งเป็นช่องโหว่ประเภท Authentication Bypass ที่ทำให้ผู้โจมตีสามารถสร้างบัญชีผู้ดูแลระบบได้
จากนั้น AI Agent ได้พยายามค้นหาวิธี Container Escape เพื่อหลบหนีออกจาก Container ไปยังระบบโฮสต์ ก่อนจะติดตั้ง Ransomware Payload ลงในระบบ โดยนักวิจัยระบุว่า JadePuffer ได้เข้ารหัสข้อมูลการตั้งค่าบริการของ Nacos ทั้งหมด 1,342 รายการ แล้วจึงลบข้อมูลต้นฉบับออก
Sysdig อธิบายว่า “จาก Payload ที่เก็บได้ พบว่า AI Agent เข้ารหัสข้อมูลการตั้งค่าบริการของ Nacos ทั้ง 1,342 รายการด้วยฟังก์ชัน AES_ENCRYPT() ของ MySQL จากนั้นลบ table config_info และ history ซึ่งเป็น table ข้อมูลต้นฉบับ ก่อนสร้าง table ใหม่ชื่อ README_RANSOM เพื่อใช้เป็นข้อความเรียกค่าไถ่ โดยภายในมีรายละเอียดข้อเรียกร้อง, Bitcoin Address สำหรับชำระเงิน และช่องทางติดต่อผ่าน Proton Mail”

ในข้อความเรียกค่าไถ่ ผู้โจมตีอ้างว่าข้อมูลถูกเข้ารหัสด้วยอัลกอริทึม AES-256 อย่างไรก็ตาม นักวิจัยมองว่าคำกล่าวอ้างดังกล่าวน่าจะเกินจริง และมีความเป็นไปได้มากกว่าที่ JadePuffer จะใช้ AES-128-ECB ซึ่งเป็นรูปแบบการเข้ารหัสที่มีความปลอดภัยต่ำกว่า
Sysdig ระบุว่า Encryption Key ถูกสร้างขึ้นแบบสุ่ม แต่ไม่ได้ถูกจัดเก็บ หรือส่งกลับไปยังผู้โจมตี แต่อย่างใด
นอกจากนี้ Bitcoin Address ที่ระบุไว้ในข้อความเรียกค่าไถ่ ยังเป็นตัวอย่าง Address ที่ถูกใช้กันอย่างแพร่หลายในเอกสารสาธารณะ นักวิจัยจึงคาดว่าอาจเป็นผลมาจาก LLM นำตัวอย่างดังกล่าวจากข้อมูลที่ใช้ฝึกโมเดลมาสร้างซ้ำ
หลักฐานอื่น ๆ ที่บ่งชี้ว่าการโจมตีครั้งนี้ถูกควบคุมโดย AI ได้แก่ การพบ Natural-language comments ภายในโค้ดที่ AI สร้างขึ้น ซึ่งอธิบายเหตุผล และแนวคิดเบื้องหลังการดำเนินการในแต่ละขั้นตอน นอกจากนี้ AI ยังสามารถปรับเปลี่ยนวิธีโจมตีได้อย่างรวดเร็ว โดยอ้างอิงจากข้อผิดพลาดที่พบระหว่างการโจมตีจริง แทนที่จะเพียงแค่ลองดำเนินการเดิมซ้ำ ๆ โดยไม่มีการปรับเปลี่ยน

Sysdig สรุปว่า กรณีของ JadePuffer แสดงให้เห็นว่า ยุคของ “Agentic Threat Actors (ATAs)” ได้มาถึงแล้ว ซึ่งหมายถึงการที่ AI Agent สามารถทำหน้าที่เป็นผู้โจมตีได้ด้วยตนเอง ส่งผลให้ระดับทักษะที่จำเป็นในการก่อเหตุโจมตีไซเบอร์ที่สร้างความเสียหายรุนแรงลดลง
อย่างไรก็ตาม Sysdig มองว่า ลักษณะการทำงานของ AI Agent ในปัจจุบันก็ยังเปิดโอกาสใหม่ให้กับฝั่งป้องกันเช่นกัน เนื่องจาก Payload ที่สร้างโดย LLM มักมีรูปแบบ หรือพฤติกรรมเฉพาะ ซึ่งสามารถนำไปใช้เป็นจุดสังเกตเพื่อให้โซลูชันด้านความปลอดภัยตรวจจับการโจมตีได้มีประสิทธิภาพมากยิ่งขึ้น
ที่มา : bleepingcomputer

You must be logged in to post a comment.