A kiberbiztonsági kutatók egy új kártevőcsaládot fedeztek fel, amit LameHug névre kereszteltek. A malware család különlegessége, hogy egy nagy nyelvi modellt (LLM) használ parancsok generálására a megfertőzött Windows rendszereken. A malware-t az ukrán nemzeti kiberincidens elhárító csapat (CERT-UA) fedezte fel, és APT28 orosz állami támogatású hackercsoporthoz kötötte, amelyet több néven is ismerhetünk, például Fancy Bear, Sofacy vagy Tsar Team.
A LameHug Python nyelven íródott, és a Hugging Face API-n keresztül kommunikál a Qwen 2.5-Coder-32B-Instruct nevű LLM-mel, amelyet az Alibaba Cloud fejlesztett. Ez a modell kódgenerálásra, logikai feladatokra és programozási utasítások támogatására készült, képes természetes nyelvű leírások alapján kódot vagy parancsokat készíteni több programozási nyelven is.
A CERT-UA július 10-én olyan rosszindulatú e-mailekről kapott bejelentéseket, amelyeket minisztériumi tisztviselők nevében küldtek el, és amelyek állami szervezetek vezetőit célozták. Az e-mailek ZIP-csatolmányokat tartalmaztak, benne a LameHug betöltőjével. Legalább három változatot azonosítottak: „Attachment.pif”, „AI_generator_uncensored_Canvas_PRO_v0.9.exe” és „image.py” néven.
A támadások során a LameHug rendszerfelderítési és adatlopási feladatokat hajtott végre. Az LLM-nek küldött utasítások alapján dinamikusan generált parancsokkal gyűjtött rendszerinformációkat, rekurzívan átkutatta a Windows kulcsfontosságú mappáit (Documents, Desktop, Downloads), majd az összegyűjtött adatokat egy info.txt fájlba mentette és SFTP-n vagy HTTP POST kéréseken keresztül szivárogtatta ki.
Ez az első elismert kártevő, amely LLM-et használ a támadások dinamikus vezérlésére, ami új támadási mintákat vetít előre: a támadók anélkül tudnak taktikát váltani, hogy új payload-ot kellene bejuttatniuk a célrendszerekbe. Ráadásul a Hugging Face infrastruktúra parancs- és vezérlési (C2) célokra történő felhasználása megnehezítheti a kommunikáció észlelését, így a fertőzés hosszabb ideig rejtve maradhat.
A dinamikusan generált parancsok segíthetnek a kártevőnek elkerülni a biztonsági szoftvereket vagy a statikus elemzéseket, amelyek jellemzően kódba ágyazott mintákat keresnek. A CERT-UA egyelőre nem közölte, hogy a LameHug által futtatott LLM-alapú parancsok végül mennyire bizonyultak sikeresnek.
