Se ha observado que un actor de amenazas desconocido utiliza un agente de modelo de lenguaje grande (LLM) para llevar a cabo acciones posteriores al compromiso después de obtener acceso inicial luego de la explotación de una red Marimo de acceso público utilizando una vulnerabilidad recientemente revelada.
«El atacante comprometió una computadora portátil Marimo accesible a través de Internet a través de CVE-2026-39987, extrajo dos credenciales de nube del host comprometido, las reprodujo a través de un grupo de salida desplegado para recuperar una clave privada SSH de AWS Secrets Manager y usó esa clave para impulsar ocho sesiones SSH cortas contra un servidor bastión SSH descendente», dijo Sysdig.
«La fase de bastión exfiltró el esquema y el contenido completo de una base de datos interna PostgreSQL en menos de dos minutos».
CVE-2026-39987 hace referencia a una vulnerabilidad crítica de ejecución remota de código previamente autenticado que afecta a todas las versiones de Marimo anteriores a la 0.20.4 incluida. Permite que un atacante no autenticado ejecute comandos arbitrarios del sistema. El problema se solucionó en la versión 0.23.0, lanzada el mes pasado.
Desde entonces, el defecto de seguridad ha sido objeto de explotación activa, y los actores de amenazas lo utilizan para iniciar un reconocimiento manual de los sistemas honeypot e intentar recopilar datos confidenciales.
La última actividad documentada por Sysdig sigue el mismo patrón, la principal diferencia es que se utilizó un agente LLM para impulsar la actividad posterior a la explotación. El incidente, según la empresa de seguridad en la nube, se registró el 10 de mayo de 2026, cuando el atacante recopiló credenciales del entorno y luego utilizó la clave de acceso de AWS recopilada para realizar llamadas API contra AWS Secrets Manager y recuperar una clave privada SSH.
Minutos más tarde, se dice que el actor de amenazas llevó a cabo la primera autenticación SSH en el servidor bastión SSH utilizando la clave recuperada, seguido de lanzar ocho sesiones SSH paralelas contra el servidor descendente para desviar una base de datos interna PostgreSQL. La cadena de ataques de un extremo a otro duró poco más de una hora.
Sysdig dijo que descubrió cuatro indicadores de que un agente de LLM estaba detrás de la actividad. Primero, el atacante improvisó un volcado de base de datos sin ningún conocimiento previo del esquema. En segundo lugar, un comentario de planificación en chino, «看还能做什么», que se traduce como «Ver qué más podemos hacer», se filtró directamente en el flujo de comandos al ejecutar una búsqueda de credenciales.
«El nombre de host de la base de datos era opaco, sin ningún identificador de aplicación en el disco y ningún volcado de esquema preestablecido, pero la cadena aún así aterrizó en una tabla de credenciales en cuestión de minutos», dijo Sysdig. «El atacante ya no necesita ver su entorno para operar dentro de él».
La tercera señal es que cada comando está diseñado para el consumo de la máquina, con cada comando separado por un delimitador «—«, junto con capturas de salida limitadas, deshabilitando el comando «menos» y descartando el flujo de error (stderr) para minimizar el ruido.
Por último, las transferencias de valores se obtienen de la salida de la herramienta anterior. En otras palabras, la forma en que se extrajeron ciertos valores, por ejemplo, contraseñas de bases de datos, implica que un agente de IA alimenta su propia salida anterior (ejecutando un comando cat del archivo «~/.pgpass») en la siguiente acción.
En otro caso, un comando cat para imprimir el contenido de un archivo específico («cat ~/.ssh/id_ed25519») está precedido por un comando ls («list») que pasa el mismo patrón de archivo como entrada («ls -la ~/.ssh/id_ed25519*») para confirmar que existe la clave SSH.
«Cuando un operador con script crea un manual de estrategias por objetivo y lo reutiliza, el obstáculo para agregar un nuevo objetivo es el tiempo de ingeniería», concluyó Sysdig. «Sin embargo, un operador de agente tiene antecedentes generales sobre una clase de aplicaciones y compone la cadena en vivo para adaptarse mejor a su objetivo. Aquí, la barra se convierte en presupuesto de inferencia, no en autoría del manual».
«La propiedad relevante para el defensor de un agente en el bucle es la adaptabilidad. Un atacante con script encuentra un archivo faltante, un esquema inesperado o una falla de autenticación y aborta o recurre a un respaldo codificado. Un agente lee la sorpresa, decide qué intentar a continuación y continúa».
Para contrarrestar esta amenaza, se recomienda que los usuarios actualicen a la última versión de Marimo, auditen los entornos para detectar instancias de acceso público y roten las credenciales, claves API y claves SSH.