Serangan Ransomware Kini Bisa Dilakukan Agen AI Tanpa Hacker
- Rita Puspita Sari
- •
- 20 jam yang lalu
Ilustrasi Ransomware
Perkembangan teknologi kecerdasan buatan (Artificial Intelligence/AI) tidak hanya membawa dampak positif bagi dunia industri, tetapi juga mulai dimanfaatkan oleh pelaku kejahatan siber untuk meningkatkan efektivitas serangan. Temuan terbaru dari perusahaan keamanan siber Sysdig menunjukkan bahwa era serangan siber yang sepenuhnya dijalankan oleh agen AI tampaknya sudah dimulai.
Dalam laporan risetnya, tim Threat Research Sysdig mengungkap sebuah operasi yang mereka beri nama JADEPUFFER, yang diyakini sebagai serangan ransomware pertama yang dijalankan hampir sepenuhnya oleh agen AI tanpa keterlibatan manusia dalam setiap tahap operasinya. Mulai dari mencari celah keamanan, memperoleh akses ke sistem, mencuri kredensial, bergerak ke server lain, hingga mengenkripsi dan menghapus database korban dilakukan secara otomatis oleh model berbasis Large Language Model (LLM).
Temuan ini menjadi sinyal penting bagi komunitas keamanan siber karena menunjukkan bahwa kemampuan AI kini tidak lagi sebatas membantu pembuatan kode atau analisis data, melainkan mampu menjalankan rangkaian serangan yang kompleks secara mandiri.
Mengeksploitasi Celah Lama yang Belum Ditambal
Menurut Sysdig, JADEPUFFER memulai aksinya dengan mengeksploitasi CVE-2025-3248, sebuah kerentanan pada platform open source Langflow yang banyak digunakan untuk membangun aplikasi AI dan workflow agen AI.
Kerentanan tersebut merupakan jenis missing authentication, yang memungkinkan penyerang menjalankan kode Python dari jarak jauh tanpa perlu melakukan autentikasi atau login terlebih dahulu. Dengan kata lain, siapa pun yang dapat mengakses server Langflow yang rentan berpotensi memperoleh kendali penuh terhadap sistem.
Meski celah keamanan ini telah diperbaiki melalui Langflow versi 1.3.0 dan telah dimasukkan ke dalam daftar Known Exploited Vulnerabilities (KEV) milik Cybersecurity and Infrastructure Security Agency (CISA) sejak Mei 2025, kenyataannya masih banyak organisasi yang belum memperbarui sistem mereka.
Server Langflow sendiri menjadi sasaran yang menarik karena sering kali diakses langsung melalui internet dan menyimpan berbagai kredensial penting yang digunakan aplikasi AI, mulai dari API key hingga akses ke layanan cloud.
AI Langsung Melakukan Pengintaian Setelah Berhasil Masuk
Begitu memperoleh akses awal, agen AI tidak berhenti pada tahap eksploitasi.
Sysdig menjelaskan bahwa JADEPUFFER langsung melakukan proses enumeration, yaitu memetakan lingkungan server dan mencari berbagai informasi sensitif yang dapat dimanfaatkan untuk memperluas akses.
Target pencarian AI meliputi berbagai API key layanan AI seperti OpenAI, Anthropic, DeepSeek, dan Gemini. Selain itu, AI juga mengumpulkan kredensial cloud milik Alibaba Cloud, Tencent Cloud, Amazon Web Services (AWS), Google Cloud, hingga Microsoft Azure.
Tidak hanya itu, agen AI turut mencari private key dompet kripto serta akun database yang tersimpan di server.
Dalam prosesnya, JADEPUFFER menemukan server penyimpanan berbasis MinIO yang masih menggunakan akun bawaan pabrik minioadmin. Karena kredensial tersebut tidak pernah diganti oleh administrator, AI dapat masuk tanpa hambatan.
Setelah berhasil memperoleh akses, agen AI kemudian membuat mekanisme persistence dengan menambahkan scheduled task yang secara otomatis menghubungi server command-and-control milik penyerang setiap 30 menit. Langkah ini memungkinkan AI mempertahankan akses meskipun sistem sempat dimulai ulang.
Menyerang Database Produksi
Tahap berikutnya merupakan inti dari operasi ransomware tersebut. AI berpindah menuju server lain yang menjalankan MySQL dan Alibaba Nacos, sebuah layanan konfigurasi dan service discovery yang banyak digunakan dalam lingkungan aplikasi berbasis microservices.
Menariknya, Sysdig tidak dapat memastikan bagaimana agen AI memperoleh kredensial akun root database. Namun setelah berhasil masuk, AI memanfaatkan kelemahan lain, yaitu CVE-2021-29441, yang memungkinkan bypass autentikasi pada Nacos.
Selain itu, AI juga memanfaatkan penggunaan default signing key bawaan Nacos yang diketahui tidak berubah sejak tahun 2020.
Setelah memperoleh kendali penuh atas Nacos, agen AI membuat akun administrator baru sehingga tetap memiliki akses ke sistem meskipun kredensial lain diubah oleh administrator.
Ransomware Tanpa Harapan Pemulihan
Yang membuat kasus ini semakin menarik adalah cara AI menangani proses enkripsi data. JADEPUFFER mengenkripsi seluruh 1.342 konfigurasi yang terdapat pada Nacos, menghapus tabel database asli, kemudian meninggalkan catatan tebusan yang meminta pembayaran Bitcoin melalui alamat email Proton Mail.
Namun terdapat kejanggalan yang belum pernah ditemukan pada sebagian besar operasi ransomware sebelumnya.
Alih-alih menyimpan kunci enkripsi untuk diberikan kepada korban setelah pembayaran dilakukan, agen AI justru menghasilkan kunci enkripsi secara acak, menampilkannya satu kali di layar, lalu menghapusnya tanpa pernah menyimpan maupun mengirimkannya ke operator.
Akibatnya, korban praktis tidak memiliki peluang untuk memperoleh kembali data yang telah dienkripsi, bahkan jika mereka membayar uang tebusan.
Catatan tebusan memang mengklaim menggunakan algoritma AES-256, tetapi analisis Sysdig menunjukkan bahwa alat yang digunakan sebenarnya menggunakan AES-128 sebagai konfigurasi bawaan. Meski terdapat perbedaan tersebut, hasil akhirnya tetap sama, yaitu data tidak dapat dipulihkan.
AI juga menghapus seluruh database dan meninggalkan komentar pada kode yang mengklaim telah menyalin data korban ke server lain. Namun hingga proses investigasi selesai, Sysdig tidak menemukan bukti bahwa eksfiltrasi data benar-benar terjadi.
Jejak AI Terlihat dari Cara Menulis Kode
Salah satu alasan utama Sysdig menyimpulkan bahwa operasi ini dikendalikan AI adalah pola penulisan kode yang sangat berbeda dibandingkan malware buatan manusia. Payload yang digunakan berisi komentar dalam bahasa Inggris yang menjelaskan tujuan dari hampir setiap langkah yang dilakukan.
Komentar seperti itu lazim dihasilkan oleh model AI karena bertujuan menjelaskan proses berpikirnya, tetapi hampir tidak pernah dibuat oleh pelaku ransomware profesional yang biasanya lebih memilih kode ringkas tanpa penjelasan.
Selain itu, agen AI juga menunjukkan kemampuan memperbaiki kesalahan secara otomatis.
Dalam salah satu kasus, AI hanya membutuhkan waktu sekitar 31 detik untuk menganalisis penyebab kegagalan login, menentukan solusi yang tepat, lalu menjalankan beberapa langkah perbaikan secara berurutan tanpa perlu campur tangan manusia.
Sepanjang operasi, Sysdig mencatat lebih dari 600 payload berbeda yang dijalankan secara terarah. Jumlah tersebut menunjukkan bahwa AI tidak sekadar menjalankan satu skrip statis, melainkan mampu mengambil keputusan berdasarkan kondisi sistem yang dihadapinya.
Misteri Alamat Bitcoin
Peneliti juga menemukan kejanggalan lain pada alamat Bitcoin yang tercantum di dalam catatan tebusan. Alamat tersebut identik dengan alamat contoh yang selama bertahun-tahun digunakan dalam dokumentasi resmi pengembang Bitcoin dan banyak beredar di berbagai sumber pelatihan AI.
Namun di sisi lain, alamat tersebut juga merupakan dompet Bitcoin asli yang memiliki riwayat transaksi nyata.
Sysdig belum dapat memastikan apakah model AI secara tidak sengaja mengambil alamat tersebut dari data pelatihannya, atau memang operator sengaja menggunakan dompet yang kebetulan sama dengan alamat contoh tersebut.
Fenomena ini memperlihatkan bahwa AI masih dapat menghasilkan keluaran yang tidak sepenuhnya dapat diprediksi, termasuk kemungkinan munculnya AI hallucination, yakni kondisi ketika model menghasilkan informasi yang tampak benar tetapi sebenarnya tidak memiliki dasar fakta yang kuat.
Bagian dari Evolusi Ancaman AI
Kasus JADEPUFFER menambah daftar perkembangan serangan siber berbasis AI yang meningkat sepanjang 2025.
Sebelumnya, peneliti ESET sempat memperkenalkan PromptLock yang disebut sebagai ransomware berbasis AI pertama. Namun kemudian diketahui bahwa proyek tersebut hanyalah prototipe penelitian dari New York University (NYU), bukan ancaman nyata di internet.
Anthropic juga pernah melaporkan kampanye pemerasan yang memanfaatkan Claude Code untuk menyerang sedikitnya 17 organisasi dengan nilai tebusan lebih dari US$500.000. Akan tetapi, operasi tersebut masih dikendalikan manusia.
Pada November 2025, Anthropic kembali mengungkap operasi spionase siber yang sebagian besar dijalankan secara otonom menggunakan AI untuk membuat eksploitasi dan membantu pencurian data.
Meski demikian, laporan Sysdig menunjukkan bahwa JADEPUFFER melangkah lebih jauh karena hampir seluruh proses serangan dilakukan oleh agen AI tanpa operator manusia yang aktif mengendalikan setiap tahap.
Ancaman terhadap Organisasi Semakin Nyata
Menurut Sysdig, munculnya agen AI semacam ini akan mengubah lanskap ancaman siber secara signifikan. Jika sebelumnya pelaku membutuhkan waktu lama untuk mempelajari kerentanan, menulis skrip eksploitasi, hingga melakukan pergerakan di dalam jaringan korban, kini sebagian besar pekerjaan tersebut dapat dilakukan secara otomatis.
Konsekuensinya, biaya menjalankan serangan menjadi jauh lebih murah sementara skala serangan dapat meningkat drastis.
Server yang masih menjalankan perangkat lunak lama atau belum mendapatkan pembaruan keamanan akan menjadi sasaran paling mudah karena agen AI mampu memindai ribuan target sekaligus dan mengeksploitasi kerentanan yang diketahui dalam waktu singkat.
Rekomendasi untuk Tim Keamanan
Sebagai langkah mitigasi, Sysdig menyarankan organisasi segera memperbarui Langflow ke versi terbaru serta memastikan endpoint yang dapat menjalankan kode tidak pernah diekspos langsung ke internet.
Perusahaan juga disarankan untuk tidak menyimpan API key maupun kredensial cloud di dalam lingkungan aplikasi AI. Sebagai gantinya, seluruh informasi sensitif sebaiknya disimpan menggunakan layanan secret manager yang memiliki kontrol akses lebih ketat.
Untuk environment yang menggunakan Nacos, administrator dianjurkan mengganti default signing key, menonaktifkan akses publik, serta tidak menggunakan akun root sebagai akun koneksi database.
Selain itu, pembatasan lalu lintas keluar (outbound traffic) juga dinilai penting agar server yang telah berhasil diretas tidak dapat berkomunikasi kembali dengan server command-and-control milik penyerang.
Sysdig juga menekankan bahwa kecepatan pelaku ancaman dalam memanfaatkan kerentanan baru membuat organisasi tidak bisa lagi hanya mengandalkan proses patching. Kemampuan mendeteksi perilaku mencurigakan saat aplikasi sedang berjalan atau runtime detection kini menjadi lapisan pertahanan yang sama pentingnya.
Peringatan Dini Era Serangan Siber Otonom
Meski tidak menggunakan teknik eksploitasi yang benar-benar baru, JADEPUFFER memperlihatkan perubahan besar dalam cara serangan siber dilakukan.
Yang membedakan operasi ini bukanlah kecanggihan eksploitasi, melainkan kemampuan agen AI untuk merangkai berbagai teknik yang sudah dikenal menjadi satu rantai serangan otomatis tanpa campur tangan manusia.
Temuan ini menjadi peringatan bahwa seiring semakin berkembangnya teknologi agen AI, pelaku ancaman akan semakin mudah mengotomatisasi proses peretasan terhadap server yang terbuka ke internet, penyimpanan konfigurasi, maupun akun administrator database.
Bagi organisasi, menjaga sistem tetap diperbarui, menerapkan konfigurasi keamanan yang benar, serta memperkuat pemantauan aktivitas secara real-time kini bukan lagi sekadar praktik terbaik, melainkan kebutuhan mendesak untuk menghadapi generasi baru serangan siber berbasis kecerdasan buatan.
