Ransomware e intelligenza artificiale: cosa insegna il caso JADEPUFFER
Il 1° luglio 2026 la società di sicurezza Sysdig ha documentato JADEPUFFER, il primo caso conosciuto di ransomware condotto interamente da un agente di intelligenza artificiale, dalla ricognizione iniziale fino all'estorsione, senza un operatore umano al comando delle singole fasi. Non è uno scenario ipotetico né un titolo gonfiato per fare clic: è un'analisi tecnica con codice, timestamp e indicatori di compromissione verificabili, e probabilmente il caso di ransomware intelligenza artificiale più discusso del 2026 finora.
In breve
Un agente AI ha sfruttato una falla nota in un server aziendale esposto su internet, ha rubato credenziali, si è spostato lateralmente nella rete e ha cifrato oltre mille voci di configurazione di un database, il tutto in modo autonomo e in una manciata di ore. Non riguarda solo le grandi multinazionali: il bersaglio finale aveva una vulnerabilità del 2021 mai corretta, lo stesso profilo di rischio comune a molte PMI italiane.
In questo articolo
- Cosa è successo, in sintesi
- Come si è svolto l'attacco, passo dopo passo
- Perché questo caso è diverso dai ransomware che conosciamo
- Il parallelo con il phishing generato dall'AI che vediamo già oggi
- Perché riguarda anche le aziende italiane, non solo le multinazionali
- Cosa fare, concretamente
- Se succede comunque: la parte che spesso si dimentica
- Domande frequenti
Cosa è successo, in sintesi
Il gruppo di ricerca di Sysdig ha ricostruito un'operazione che ha soprannominato JADEPUFFER. Il punto di accesso è stato Langflow, un framework open source molto diffuso per costruire applicazioni basate su modelli linguistici, esposto su internet e vulnerabile a una falla nota (CVE-2025-3248) che permette l'esecuzione di codice da remoto senza autenticazione.
Da lì, l'agente AI ha agito in autonomia. Ha raccolto credenziali e chiavi API dal server compromesso, si è spostato lateralmente nella rete e ha individuato un secondo server di produzione con un database MySQL e un servizio di configurazione Nacos. Ha quindi sfruttato una vulnerabilità di autenticazione del 2021 rimasta senza patch, ha creato un account amministratore fasullo, ha cifrato 1.342 elementi di configurazione e infine ha cancellato le tabelle originali, lasciando una richiesta di riscatto in Bitcoin. Tutto questo, riporta Sysdig, senza intervento umano nelle singole azioni operative.
Come si è svolto l'attacco, passo dopo passo
Perché questo caso è diverso dai ransomware che conosciamo
Le tecniche usate da JADEPUFFER non sono nuove: sfruttare vulnerabilità note, rubare credenziali, muoversi lateralmente in una rete sono comportamenti già visti molte volte. Ciò che cambia è chi le ha eseguite e quanto in fretta. Sysdig porta quattro elementi a sostegno della sua valutazione.
Il codice si spiega da solo
I payload catturati contengono commenti in linguaggio naturale che spiegano il ragionamento dietro ogni azione, la priorità assegnata ai bersagli, la scelta di quale database "vale di più" da colpire. Un operatore umano difficilmente annota così un comando usa e getta: è invece un comportamento tipico del codice generato da un modello linguistico.
Corregge gli errori in pochi secondi
Il dato più concreto riguarda la velocità di adattamento. In una sequenza documentata, un tentativo di creare un account amministratore fallisce; trentuno secondi dopo, senza alcun intervento umano, arriva un payload correttivo che individua la causa del problema, la risolve e ricrea l'account con successo.
La sequenza in dettaglio
| Orario (UTC) | Cosa succede |
|---|---|
| 19:34:24 | Viene creato un account amministratore con una password cifrata |
| 19:34:36 | Il tentativo di accesso fallisce |
| 19:34:48 | Il sistema prova in parallelo due possibili cause del problema |
| 19:35:07 | Arriva la correzione: causa identificata e risolta |
| 19:35:18 | L'accesso riesce |
Fonte: Sysdig Threat Research Team, report JADEPUFFER, 1° luglio 2026.
Capisce il contesto, non solo i comandi
Nel corso dell'operazione l'agente ha dimostrato di comprendere informazioni testuali libere trovate durante l'esplorazione dei sistemi, agendo di conseguenza in un modo che, secondo Sysdig, ha senso solo se quel testo è stato effettivamente letto e interpretato, non semplicemente riconosciuto da uno scanner automatico.
Seicento azioni coerenti in una finestra compressa
Complessivamente sono stati eseguiti oltre 600 payload distinti e mirati in un lasso di tempo ristretto: una coerenza e un volume che, secondo Sysdig, difficilmente sono compatibili con uno script fisso o con un operatore umano che digita in tempo reale.
| Ransomware tradizionale | Ransomware guidato da un agente AI |
|---|---|
| Serve un operatore che scriva e adatti manualmente lo script | Il codice viene generato e corretto in autonomia durante l'attacco |
| Tempo di reazione a un errore: minuti o ore | Tempo di reazione a un errore: 31 secondi |
| Richiede competenze tecniche specifiche dell'operatore | Il "sapere fare" è nel modello, non nella persona che lo aziona |
| Costo operativo legato al tempo umano impiegato | Costo che si avvicina a quello del solo utilizzo dell'agente |
| Volume di azioni limitato dalla velocità umana | Oltre 600 payload distinti in una finestra compressa |
Il parallelo con il phishing generato dall'AI che vediamo già oggi
Non è la prima volta che l'intelligenza artificiale entra in un attacco informatico, e su questo vale la pena essere precisi per non creare confusione. Le email di phishing sempre più credibili che riceviamo, spesso scritte in un italiano corretto e senza gli errori grossolani che un tempo le tradivano, sono quasi certamente generate con l'aiuto di un modello linguistico. In quel caso, però, l'AI resta uno strumento nelle mani di una persona: qualcuno sceglie il bersaglio, prepara la campagna, decide quando lanciarla.
JADEPUFFER mostra qualcosa di diverso: oggi è tecnicamente possibile togliere anche quella persona dall'equazione, lasciando che sia l'agente stesso a decidere bersaglio, strategia e correzioni in corsa. Non significa che da domani ogni attacco funzionerà così. Significa che la strada è stata percorsa almeno una volta, documentata, e che il costo per ripeterla è sceso quasi a zero per chi ha accesso a un agente AI e a credenziali rubate.
Perché riguarda anche le aziende italiane, non solo le multinazionali
Un dettaglio del caso JADEPUFFER è particolarmente rilevante per le PMI: il bersaglio finale non era un colosso tecnologico, ma un server esposto su internet con un software di configurazione (Nacos) che aveva una vulnerabilità nota dal 2021 e una chiave di firma di default mai cambiata. Non serviva una tecnica sofisticata, serviva solo che nessuno avesse aggiornato o messo in sicurezza quel sistema.
È esattamente il profilo di rischio più comune tra le aziende italiane di medie e piccole dimensioni: sistemi esposti per comodità operativa, credenziali di default mai sostituite, server AI o applicativi montati in fretta senza controlli di rete. Un agente capace di automatizzare la scansione e lo sfruttamento dell'intero catalogo storico delle vulnerabilità note rende quel tipo di esposizione, prima trascurabile perché "tanto nessuno se ne accorge", improvvisamente molto più concreta. Vale anche la pena ricordare che episodi come questo rientrano tra gli incidenti che, per un soggetto NIS2, vanno notificati al CSIRT Italia entro tempistiche precise: pre-notifica entro 24 ore, rapporto completo entro 72.
Il tempo medio per sfruttare una vulnerabilità nota si è ridotto drasticamente
Fonte: Vectra AI, dati aggregati sul tempo medio di weaponizzazione delle vulnerabilità divulgate. Nel primo trimestre 2025, secondo VulnCheck, il 28,3% delle vulnerabilità sfruttate lo è stato entro 24 ore dalla divulgazione pubblica.
Il livello minimo di competenza per condurre un ransomware si è ridotto a quanto costa far girare un agente AI: se quell'agente opera con credenziali rubate, il costo per l'attaccante si avvicina allo zero. Parafrasi della valutazione di Michael Clark, Director of Threat Research, Sysdig
Cosa fare, concretamente
- Aggiornare senza rimandare i sistemi esposti su internet, in particolare framework AI come Langflow e servizi di configurazione come Nacos, spesso installati rapidamente e poi dimenticati
- Non lasciare mai credenziali di default attive su servizi raggiungibili dall'esterno
- Non tenere chiavi API di provider AI o credenziali cloud nello stesso ambiente di un server applicativo esposto
- Limitare l'accesso amministrativo dei database ai soli sistemi che ne hanno reale necessità, mai da internet
- Predisporre controlli di uscita (egress) che impediscano a un host compromesso di comunicare liberamente con l'esterno
- Avere già pronto, prima che serva, un piano di risposta agli incidenti con ruoli e referenti chiari, tecnici e legali
Vuoi sapere se la tua azienda sarebbe pronta a gestire un incidente come questo?
Prova il Self-Assessment NIS2 gratuitoSe succede comunque: la parte che spesso si dimentica
C'è un aspetto di JADEPUFFER che vale la pena sottolineare anche a prevenzione avvenuta. Il fatto che l'agente AI lasci un codice che "racconta" le proprie intenzioni, con commenti che spiegano perché ha scelto un bersaglio o come ha valutato il valore di un database, è una miniera di elementi utili in fase di ricostruzione dell'incidente. Ma solo se log e dati vengono raccolti e conservati correttamente, prima che vengano sovrascritti o persi nel panico della gestione dell'emergenza.
Lo stesso report Sysdig segnala per esempio che l'agente ha dichiarato di aver già copiato alcuni dati su un server esterno prima di cancellarli, ma quella affermazione non è stata confermata da prove indipendenti: è un'informazione scritta dall'attaccante stesso nel codice, non un fatto verificato. Distinguere quello che un attaccante dichiara da quello che è realmente accaduto richiede una ricostruzione tecnica rigorosa, il tipo di lavoro che serve quando la questione rischia di finire in sede legale o assicurativa: è il campo di Periti Digitali, la nostra business unit dedicata all'informatica forense.
La conformità NIS2 si costruisce prima dell'incidente, non dopo
Alchimie Digitali affianca le aziende nella valutazione del rischio cyber, nella gestione delle vulnerabilità e nell'adeguamento a GDPR e NIS2, con strumenti concreti e non solo documentali.
Domande frequenti
Cos'è esattamente JADEPUFFER?
È il nome che Sysdig ha dato a un'operazione ransomware documentata come la prima condotta interamente da un agente di intelligenza artificiale, dall'accesso iniziale fino all'estorsione, senza un operatore umano a gestire le singole fasi dell'attacco.
L'intelligenza artificiale ha agito davvero da sola, senza nessun essere umano coinvolto?
Secondo l'analisi di Sysdig, le azioni operative dell'attacco, come ricognizione, furto di credenziali, movimento laterale, cifratura e distruzione dei dati, sono state eseguite in autonomia dall'agente AI. Resta però un umano dietro alla configurazione iniziale dell'agente e all'infrastruttura usata per riceverne i risultati: quello che è cambiato è l'assenza di un operatore che digiti comando per comando durante l'attacco vero e proprio.
Le aziende italiane sono davvero a rischio, oppure è un problema solo per le grandi multinazionali?
Il bersaglio finale di JADEPUFFER era un server con un software di configurazione la cui vulnerabilità era nota dal 2021 e mai corretta. È un profilo di rischio molto comune anche tra PMI italiane, che spesso espongono servizi con credenziali di default o senza aggiornamenti recenti.
Come si collega questo caso al phishing generato con l'intelligenza artificiale che riceviamo già oggi?
Il phishing assistito da AI che vediamo oggi resta comunque guidato da una persona, che decide bersaglio e tempistiche. JADEPUFFER mostra che tecnicamente è possibile automatizzare anche quella parte decisionale: non è detto che diventi la norma, ma la possibilità concreta esiste già.
Un attacco come JADEPUFFER rientra tra gli incidenti da notificare secondo la NIS2?
Se colpisce un soggetto essenziale o importante ai sensi del D.Lgs. 138/2024, un incidente con queste caratteristiche, compromissione di sistemi e cifratura di dati, rientra tipicamente tra gli incidenti significativi da notificare al CSIRT Italia: pre-notifica entro 24 ore, rapporto completo entro 72, relazione finale entro un mese.
Articolo a cura di Pietro Suffritti, CEO di Alchimie Digitali, esperto di sicurezza informatica e Data Protection Officer certificato.
Fonte principale: Sysdig Threat Research Team, "JADEPUFFER: Agentic ransomware for automated database extortion", pubblicato il 1° luglio 2026 su sysdig.com. Riscontri incrociati su BleepingComputer, CSO Online, Dark Reading e Security Affairs.
