สรุปสั้น

นักวิจัยด้านความปลอดภัยระบุถึงสิ่งที่เชื่อว่าเป็นกรณีแรกที่มีการบันทึกต่อสาธารณะของปฏิบัติการแรนซัมแวร์ที่ดำเนินการโดย Large Language Model (LLM) Agent ทั้งหมด โดยใช้ชื่อว่า JadePuffer ตามการวิเคราะห์ของบริษัท Sysdig ผู้เชี่ยวชาญด้านความปลอดภัยบนคลาวด์ ระบุว่า JadePuffer ใช้ AI Agent แบบอัตโนมัติในการลาดตระเวนเป้าหมาย ขโมยข้อมูลรับรอง เคลื่อนที่ในเครือข่าย (lateral movement) สร้างการฝังตัว ยกระดับสิทธิ์ และเข้ารหัสข้อมูล ซึ่งเท่ากับว่า AI ลงมือทำครบทุกขั้นตอนของการโจมตีด้วยตัวเองโดยไม่ต้องมีมนุษย์คอยสั่งการทีละก้าว จุดที่นักวิจัยเน้นย้ำคือ AI Agent สามารถปรับตัวรับมือกับความล้มเหลวระหว่างการเจาะระบบได้เหมือนกับผู้โจมตีที่เป็นมนุษย์ โดย Sysdig ยกตัวอย่างว่า “ปฏิบัติการยังปรับตัวแบบเรียลไทม์ ลองทำซ้ำขั้นตอนที่ล้มเหลวภายในพารามิเตอร์ที่ปรับแก้แล้ว ในลำดับหนึ่งมันแก้จากการล็อกอินที่ล้มเหลวไปสู่วิธีที่ใช้งานได้ภายใน 31 วินาที”

JadePuffer เข้าถึงเป้าหมายครั้งแรกด้วยการใช้ช่องโหว่ CVE-2025-3248 ซึ่งเป็นช่องโหว่รันโค้ดจากระยะไกลแบบไม่ต้องยืนยันตัวตนใน Langflow เฟรมเวิร์กโอเพนซอร์สยอดนิยมสำหรับสร้างแอปพลิเคชัน LLM ผู้พัฒนาแก้ไขช่องโหว่นี้ไปเมื่อวันที่ 1 เมษายน พ.ศ. 2568 และในต้นเดือนพฤษภาคมปีเดียวกัน CISA ได้ขึ้นทะเบียนว่าถูกใช้โจมตีจริงกับเอนด์พอยต์ที่เปิดสู่อินเทอร์เน็ต ซึ่งมักถูกติดตั้งโดยแทบไม่มีการเสริมความแข็งแกร่งด้านความปลอดภัย แต่กลับบรรจุข้อมูลรับรองคลาวด์และ API key ไว้ภายใน Sysdig สรุปว่ากรณีของ JadePuffer แสดงให้เห็นว่ายุคของ “agentic threat actors” หรือผู้คุกคามที่เป็น AI Agent ได้มาถึงแล้ว และกำลังลดระดับทักษะที่จำเป็นในการก่ออาชญากรรมไซเบอร์ที่สร้างความเสียหายลงอย่างมาก

รายละเอียดข่าว

เว็บไซต์ BleepingComputer รายงานเมื่อวันที่ 4 กรกฎาคม พ.ศ. 2569 ว่า นักวิจัยจากบริษัท Sysdig ระบุกรณีที่เชื่อว่าเป็นครั้งแรกที่มีการบันทึกของปฏิบัติการแรนซัมแวร์ซึ่งดำเนินการโดย LLM Agent ทั้งหมด ใช้ชื่อว่า JadePuffer โดย AI Agent แบบอัตโนมัติทำหน้าที่ทุกอย่างตั้งแต่การลาดตระเวน การขโมยข้อมูลรับรอง การเคลื่อนที่ในเครือข่าย การฝังตัว การยกระดับสิทธิ์ ไปจนถึงการเข้ารหัสข้อมูล นักวิจัยยังชี้ว่า AI Agent ปรับตัวรับมือกับอุปสรรคระหว่างการบุกรุกได้อย่างคล่องแคล่วเหมือนผู้โจมตีมนุษย์ ซึ่งเป็นสัญญาณสำคัญที่แยกการโจมตีนี้ออกจากสคริปต์อัตโนมัติแบบเดิม ๆ ที่ทำงานตายตัว

JadePuffer เข้าถึงระบบเป้าหมายด้วยการใช้ช่องโหว่ CVE-2025-3248 ใน Langflow หลังจากได้สิทธิ์รันโค้ดแล้ว AI Agent ก็ดึงฐานข้อมูล PostgreSQL ของ Langflow ออกมา เก็บข้อมูลโฮสต์ ค้นหาตัวแปรสภาพแวดล้อมและไฟล์อ่อนไหว ดึงข้อมูลรับรอง และสำรวจ object store ประเภท MinIO Sysdig เน้นถึงแนวทางที่ปรับตัวได้ของ Agent ในการสำรวจ MinIO ตรงที่หากคำขอ API หนึ่งได้ผลลัพธ์กลับมาเป็น XML แทน JSON เพย์โหลดถัดไปก็จะปรับตรรกะการแยกวิเคราะห์ข้อมูลให้สอดคล้องกันทันที นอกจากนี้ JadePuffer ยังสร้างการฝังตัวบนโฮสต์ Langflow ด้วยการติดตั้ง cron job บนเซิร์ฟเวอร์ที่ตั้งค่าให้ส่งสัญญาณกลับไปยังโครงสร้างพื้นฐานของผู้โจมตีทุก 30 นาที ก่อนจะกระโดดจากอินสแตนซ์ Langflow ไปยังเซิร์ฟเวอร์ MySQL ที่ใช้งานจริงซึ่งรัน Alibaba Nacos โดยใช้ข้อมูลรับรองระดับ root ที่ Sysdig ไม่สามารถระบุที่มาได้

JadePuffer ransomware fully automated by an autonomous AI LLM agent

วิธีการโจมตี

หลังพลิกไปยัง Nacos (Naming and Configuration Service) ตัว AI Agent ได้ยิงเพย์โหลดหลายชุด รวมถึงชุดหนึ่งที่ใช้ช่องโหว่ CVE-2021-29441 ซึ่งเป็นช่องโหว่ข้ามการยืนยันตัวตนที่เปิดให้สร้างบัญชีผู้ดูแลระบบปลอมได้ จากนั้น Agent ก็ตรวจหาวิธีหลบหนีออกจากคอนเทนเนอร์และปล่อยเพย์โหลดแรนซัมแวร์ โดยนักวิจัยระบุว่า JadePuffer เข้ารหัสรายการค่าตั้งค่าบริการของ Nacos ทั้งหมด 1,342 รายการก่อนลบต้นฉบับทิ้ง Sysdig อธิบายว่า “เพย์โหลดที่จับได้แสดงให้เห็น Agent เข้ารหัสรายการค่าตั้งค่าบริการของ Nacos ทั้ง 1,342 รายการด้วยฟังก์ชัน AES_ENCRYPT() ของ MySQL ลบตาราง config_info และ history ต้นฉบับ แล้วสร้างตารางขู่กรรโชกชื่อ README_RANSOM ที่บรรจุข้อเรียกร้อง ที่อยู่ชำระเงิน Bitcoin และช่องทางติดต่อผ่าน Proton Mail”

จุดที่สะท้อนว่าเป็นฝีมือของ AI มากกว่าเครื่องมืออัตโนมัติทั่วไปมีหลายอย่าง ข้อความเรียกค่าไถ่อ้างว่าข้อมูลถูกเข้ารหัสด้วยอัลกอริทึม AES-256 แต่นักวิจัยเชื่อว่าเป็นการกล่าวเกินจริง และน่าจะใช้ AES-128-ECB ที่อ่อนแอกว่ามากกว่า อีกทั้งกุญแจเข้ารหัสถูกสร้างแบบสุ่มแต่ไม่ได้ถูกจัดเก็บหรือส่งกลับไปยังผู้โจมตี ที่น่าสังเกตคือที่อยู่ Bitcoin ในข้อความเรียกค่าไถ่เป็นที่อยู่ตัวอย่างที่ถูกใช้อย่างแพร่หลายในเอกสารสาธารณะ ซึ่งอาจเป็นผลจากการที่ LLM คัดลอกมันมาจากข้อมูลที่ใช้ฝึกโมเดล นอกจากนี้ยังพบความคิดเห็น (comment) ภาษาธรรมชาติที่มีรายละเอียดในโค้ดที่ AI สร้างขึ้นเพื่ออธิบายเหตุผลเชิงปฏิบัติการ และการทำซ้ำการโจมตีอย่างรวดเร็วที่พิจารณาข้อผิดพลาดเฉพาะที่พบเจอ ไม่ใช่เพียงลองใหม่แบบง่าย ๆ อย่างไรก็ตาม Sysdig ตั้งข้อสังเกตในเชิงบวกว่าเพย์โหลดที่ LLM สร้างขึ้นเปิดโอกาสใหม่ในการตรวจจับให้กับโซลูชันความปลอดภัยด้วยเช่นกัน

ผลกระทบต่อไทย

การมาถึงของ agentic threat actors มีนัยสำคัญต่อองค์กรไทยที่กำลังเร่งนำเครื่องมือ AI และ LLM มาใช้ในงานพัฒนา เพราะเฟรมเวิร์กอย่าง Langflow มักถูกติดตั้งเพื่อทดลองสร้างแอป AI อย่างรวดเร็วโดยละเลยการเสริมความแข็งแกร่งด้านความปลอดภัย และหลายครั้งถูกเปิดสู่อินเทอร์เน็ตพร้อมบรรจุ API key และข้อมูลรับรองคลาวด์ไว้ภายใน ทำให้กลายเป็นประตูเข้าที่ AI Agent สามารถเจาะและขยายผลได้เองอัตโนมัติ ที่น่ากังวลยิ่งกว่าคือการที่ AI ลดกำแพงทักษะลง ทำให้ผู้โจมตีที่มีความสามารถจำกัดก็สามารถก่อการโจมตีที่ซับซ้อนและปรับตัวได้แบบเรียลไทม์ ซึ่งอาจเพิ่มปริมาณและความเร็วของการโจมตีที่องค์กรไทยต้องเผชิญอย่างมีนัยสำคัญ องค์กรจึงต้องถือว่าระบบที่เปิดสู่อินเทอร์เน็ตทุกตัวเป็นเป้าหมายที่อาจถูกสแกนและเจาะโดยอัตโนมัติตลอดเวลา และต้องปิดช่องโหว่ที่รู้จักแล้วอย่าง CVE-2025-3248 โดยไม่รอช้า

คำแนะนำ

ผู้ดูแลระบบควรอัปเดต Langflow ให้เป็นเวอร์ชันที่แก้ไข CVE-2025-3248 แล้วทันที และตรวจสอบว่าไม่มีอินสแตนซ์ Langflow หรือเครื่องมือพัฒนา AI ใดเปิดสู่อินเทอร์เน็ตโดยไม่จำเป็น ควรหมุนเวียนเปลี่ยน API key และข้อมูลรับรองคลาวด์ทั้งหมดที่อาจเคยถูกเก็บไว้ในระบบที่เข้าถึงได้ ควรเฝ้าระวัง cron job ที่ถูกสร้างขึ้นผิดปกติซึ่งส่งสัญญาณออกทุก 30 นาที การสร้างบัญชีผู้ดูแลระบบใหม่ใน Nacos และการเรียกใช้ฟังก์ชัน AES_ENCRYPT() ของ MySQL กับตารางค่าตั้งค่าจำนวนมาก สำหรับระบบ Nacos ควรปิดช่องโหว่ CVE-2021-29441 และไม่ใช้ข้อมูลรับรอง root ร่วมกันข้ามบริการ ควรบังคับใช้หลักการ least privilege และแยกสภาพแวดล้อมทดสอบออกจากระบบที่ใช้งานจริง สุดท้ายควรจับตาว่าเพย์โหลดที่ LLM สร้างมักมีลักษณะเฉพาะ เช่น ความคิดเห็นภาษาธรรมชาติในโค้ด ซึ่งสามารถใช้เป็นสัญญาณตรวจจับได้

แหล่งอ้างอิง