Condividi:
Ransomware e intelligenza artificiale: cosa insegna il caso JADEPUFFER

Ransomware e intelligenza artificiale: cosa insegna il caso JADEPUFFER

Cybersecurity aziendale Lettura: 10 minuti Aggiornato: 14 luglio 2026

Il 1° luglio 2026 la società di sicurezza Sysdig ha documentato JADEPUFFER, il primo caso conosciuto di ransomware condotto interamente da un agente di intelligenza artificiale, dalla ricognizione iniziale fino all'estorsione, senza un operatore umano al comando delle singole fasi. Non è uno scenario ipotetico né un titolo gonfiato per fare clic: è un'analisi tecnica con codice, timestamp e indicatori di compromissione verificabili, e probabilmente il caso di ransomware intelligenza artificiale più discusso del 2026 finora.

In breve

Un agente AI ha sfruttato una falla nota in un server aziendale esposto su internet, ha rubato credenziali, si è spostato lateralmente nella rete e ha cifrato oltre mille voci di configurazione di un database, il tutto in modo autonomo e in una manciata di ore. Non riguarda solo le grandi multinazionali: il bersaglio finale aveva una vulnerabilità del 2021 mai corretta, lo stesso profilo di rischio comune a molte PMI italiane.

Ransomware guidato da intelligenza artificiale: schermo con codice e icona di rete compromessa
Il caso JADEPUFFER, documentato da Sysdig, è il primo ransomware condotto in autonomia da un agente AI.

Cosa è successo, in sintesi

Il gruppo di ricerca di Sysdig ha ricostruito un'operazione che ha soprannominato JADEPUFFER. Il punto di accesso è stato Langflow, un framework open source molto diffuso per costruire applicazioni basate su modelli linguistici, esposto su internet e vulnerabile a una falla nota (CVE-2025-3248) che permette l'esecuzione di codice da remoto senza autenticazione.

Da lì, l'agente AI ha agito in autonomia. Ha raccolto credenziali e chiavi API dal server compromesso, si è spostato lateralmente nella rete e ha individuato un secondo server di produzione con un database MySQL e un servizio di configurazione Nacos. Ha quindi sfruttato una vulnerabilità di autenticazione del 2021 rimasta senza patch, ha creato un account amministratore fasullo, ha cifrato 1.342 elementi di configurazione e infine ha cancellato le tabelle originali, lasciando una richiesta di riscatto in Bitcoin. Tutto questo, riporta Sysdig, senza intervento umano nelle singole azioni operative.

Come si è svolto l'attacco, passo dopo passo

1Accesso via falla in Langflow esposto su internet
2Furto di credenziali e chiavi API
3Spostamento laterale verso un secondo server
4Falla di autenticazione su Nacos del 2021
5Cifratura di 1.342 configurazioni
6Cancellazione dati e richiesta di riscatto

Perché questo caso è diverso dai ransomware che conosciamo

Le tecniche usate da JADEPUFFER non sono nuove: sfruttare vulnerabilità note, rubare credenziali, muoversi lateralmente in una rete sono comportamenti già visti molte volte. Ciò che cambia è chi le ha eseguite e quanto in fretta. Sysdig porta quattro elementi a sostegno della sua valutazione.

Il codice si spiega da solo

I payload catturati contengono commenti in linguaggio naturale che spiegano il ragionamento dietro ogni azione, la priorità assegnata ai bersagli, la scelta di quale database "vale di più" da colpire. Un operatore umano difficilmente annota così un comando usa e getta: è invece un comportamento tipico del codice generato da un modello linguistico.

Corregge gli errori in pochi secondi

Il dato più concreto riguarda la velocità di adattamento. In una sequenza documentata, un tentativo di creare un account amministratore fallisce; trentuno secondi dopo, senza alcun intervento umano, arriva un payload correttivo che individua la causa del problema, la risolve e ricrea l'account con successo.

31 sec. Il tempo impiegato dall'agente AI per diagnosticare un errore di accesso, correggerlo e riuscire ad autenticarsi, senza alcun intervento umano.

La sequenza in dettaglio

Orario (UTC)Cosa succede
19:34:24Viene creato un account amministratore con una password cifrata
19:34:36Il tentativo di accesso fallisce
19:34:48Il sistema prova in parallelo due possibili cause del problema
19:35:07Arriva la correzione: causa identificata e risolta
19:35:18L'accesso riesce

Fonte: Sysdig Threat Research Team, report JADEPUFFER, 1° luglio 2026.

Capisce il contesto, non solo i comandi

Nel corso dell'operazione l'agente ha dimostrato di comprendere informazioni testuali libere trovate durante l'esplorazione dei sistemi, agendo di conseguenza in un modo che, secondo Sysdig, ha senso solo se quel testo è stato effettivamente letto e interpretato, non semplicemente riconosciuto da uno scanner automatico.

Seicento azioni coerenti in una finestra compressa

Complessivamente sono stati eseguiti oltre 600 payload distinti e mirati in un lasso di tempo ristretto: una coerenza e un volume che, secondo Sysdig, difficilmente sono compatibili con uno script fisso o con un operatore umano che digita in tempo reale.

Ransomware tradizionaleRansomware guidato da un agente AI
Serve un operatore che scriva e adatti manualmente lo scriptIl codice viene generato e corretto in autonomia durante l'attacco
Tempo di reazione a un errore: minuti o oreTempo di reazione a un errore: 31 secondi
Richiede competenze tecniche specifiche dell'operatoreIl "sapere fare" è nel modello, non nella persona che lo aziona
Costo operativo legato al tempo umano impiegatoCosto che si avvicina a quello del solo utilizzo dell'agente
Volume di azioni limitato dalla velocità umanaOltre 600 payload distinti in una finestra compressa

Il parallelo con il phishing generato dall'AI che vediamo già oggi

Non è la prima volta che l'intelligenza artificiale entra in un attacco informatico, e su questo vale la pena essere precisi per non creare confusione. Le email di phishing sempre più credibili che riceviamo, spesso scritte in un italiano corretto e senza gli errori grossolani che un tempo le tradivano, sono quasi certamente generate con l'aiuto di un modello linguistico. In quel caso, però, l'AI resta uno strumento nelle mani di una persona: qualcuno sceglie il bersaglio, prepara la campagna, decide quando lanciarla.

JADEPUFFER mostra qualcosa di diverso: oggi è tecnicamente possibile togliere anche quella persona dall'equazione, lasciando che sia l'agente stesso a decidere bersaglio, strategia e correzioni in corsa. Non significa che da domani ogni attacco funzionerà così. Significa che la strada è stata percorsa almeno una volta, documentata, e che il costo per ripeterla è sceso quasi a zero per chi ha accesso a un agente AI e a credenziali rubate.

Perché riguarda anche le aziende italiane, non solo le multinazionali

Un dettaglio del caso JADEPUFFER è particolarmente rilevante per le PMI: il bersaglio finale non era un colosso tecnologico, ma un server esposto su internet con un software di configurazione (Nacos) che aveva una vulnerabilità nota dal 2021 e una chiave di firma di default mai cambiata. Non serviva una tecnica sofisticata, serviva solo che nessuno avesse aggiornato o messo in sicurezza quel sistema.

È esattamente il profilo di rischio più comune tra le aziende italiane di medie e piccole dimensioni: sistemi esposti per comodità operativa, credenziali di default mai sostituite, server AI o applicativi montati in fretta senza controlli di rete. Un agente capace di automatizzare la scansione e lo sfruttamento dell'intero catalogo storico delle vulnerabilità note rende quel tipo di esposizione, prima trascurabile perché "tanto nessuno se ne accorge", improvvisamente molto più concreta. Vale anche la pena ricordare che episodi come questo rientrano tra gli incidenti che, per un soggetto NIS2, vanno notificati al CSIRT Italia entro tempistiche precise: pre-notifica entro 24 ore, rapporto completo entro 72.

Il tempo medio per sfruttare una vulnerabilità nota si è ridotto drasticamente

2018-2019
63 giorni
2021-2022
32 giorni
2023-2024
5 giorni

Fonte: Vectra AI, dati aggregati sul tempo medio di weaponizzazione delle vulnerabilità divulgate. Nel primo trimestre 2025, secondo VulnCheck, il 28,3% delle vulnerabilità sfruttate lo è stato entro 24 ore dalla divulgazione pubblica.

Il livello minimo di competenza per condurre un ransomware si è ridotto a quanto costa far girare un agente AI: se quell'agente opera con credenziali rubate, il costo per l'attaccante si avvicina allo zero. Parafrasi della valutazione di Michael Clark, Director of Threat Research, Sysdig

Cosa fare, concretamente

  • Aggiornare senza rimandare i sistemi esposti su internet, in particolare framework AI come Langflow e servizi di configurazione come Nacos, spesso installati rapidamente e poi dimenticati
  • Non lasciare mai credenziali di default attive su servizi raggiungibili dall'esterno
  • Non tenere chiavi API di provider AI o credenziali cloud nello stesso ambiente di un server applicativo esposto
  • Limitare l'accesso amministrativo dei database ai soli sistemi che ne hanno reale necessità, mai da internet
  • Predisporre controlli di uscita (egress) che impediscano a un host compromesso di comunicare liberamente con l'esterno
  • Avere già pronto, prima che serva, un piano di risposta agli incidenti con ruoli e referenti chiari, tecnici e legali

Vuoi sapere se la tua azienda sarebbe pronta a gestire un incidente come questo?

Prova il Self-Assessment NIS2 gratuito

Se succede comunque: la parte che spesso si dimentica

C'è un aspetto di JADEPUFFER che vale la pena sottolineare anche a prevenzione avvenuta. Il fatto che l'agente AI lasci un codice che "racconta" le proprie intenzioni, con commenti che spiegano perché ha scelto un bersaglio o come ha valutato il valore di un database, è una miniera di elementi utili in fase di ricostruzione dell'incidente. Ma solo se log e dati vengono raccolti e conservati correttamente, prima che vengano sovrascritti o persi nel panico della gestione dell'emergenza.

Lo stesso report Sysdig segnala per esempio che l'agente ha dichiarato di aver già copiato alcuni dati su un server esterno prima di cancellarli, ma quella affermazione non è stata confermata da prove indipendenti: è un'informazione scritta dall'attaccante stesso nel codice, non un fatto verificato. Distinguere quello che un attaccante dichiara da quello che è realmente accaduto richiede una ricostruzione tecnica rigorosa, il tipo di lavoro che serve quando la questione rischia di finire in sede legale o assicurativa: è il campo di Periti Digitali, la nostra business unit dedicata all'informatica forense.

La conformità NIS2 si costruisce prima dell'incidente, non dopo

Alchimie Digitali affianca le aziende nella valutazione del rischio cyber, nella gestione delle vulnerabilità e nell'adeguamento a GDPR e NIS2, con strumenti concreti e non solo documentali.

Domande frequenti

Cos'è esattamente JADEPUFFER?

È il nome che Sysdig ha dato a un'operazione ransomware documentata come la prima condotta interamente da un agente di intelligenza artificiale, dall'accesso iniziale fino all'estorsione, senza un operatore umano a gestire le singole fasi dell'attacco.

L'intelligenza artificiale ha agito davvero da sola, senza nessun essere umano coinvolto?

Secondo l'analisi di Sysdig, le azioni operative dell'attacco, come ricognizione, furto di credenziali, movimento laterale, cifratura e distruzione dei dati, sono state eseguite in autonomia dall'agente AI. Resta però un umano dietro alla configurazione iniziale dell'agente e all'infrastruttura usata per riceverne i risultati: quello che è cambiato è l'assenza di un operatore che digiti comando per comando durante l'attacco vero e proprio.

Le aziende italiane sono davvero a rischio, oppure è un problema solo per le grandi multinazionali?

Il bersaglio finale di JADEPUFFER era un server con un software di configurazione la cui vulnerabilità era nota dal 2021 e mai corretta. È un profilo di rischio molto comune anche tra PMI italiane, che spesso espongono servizi con credenziali di default o senza aggiornamenti recenti.

Come si collega questo caso al phishing generato con l'intelligenza artificiale che riceviamo già oggi?

Il phishing assistito da AI che vediamo oggi resta comunque guidato da una persona, che decide bersaglio e tempistiche. JADEPUFFER mostra che tecnicamente è possibile automatizzare anche quella parte decisionale: non è detto che diventi la norma, ma la possibilità concreta esiste già.

Un attacco come JADEPUFFER rientra tra gli incidenti da notificare secondo la NIS2?

Se colpisce un soggetto essenziale o importante ai sensi del D.Lgs. 138/2024, un incidente con queste caratteristiche, compromissione di sistemi e cifratura di dati, rientra tipicamente tra gli incidenti significativi da notificare al CSIRT Italia: pre-notifica entro 24 ore, rapporto completo entro 72, relazione finale entro un mese.

Articolo a cura di Pietro Suffritti, CEO di Alchimie Digitali, esperto di sicurezza informatica e Data Protection Officer certificato.

Fonte principale: Sysdig Threat Research Team, "JADEPUFFER: Agentic ransomware for automated database extortion", pubblicato il 1° luglio 2026 su sysdig.com. Riscontri incrociati su BleepingComputer, CSO Online, Dark Reading e Security Affairs.

Data pubblicazione:
Condividi: