Malware LameHug utiliza IA LLM para robo de datos en tiempo real

Iniciado por AXCESS, Julio 18, 2025, 12:54:28 AM

Tema anterior - Siguiente tema

0 Miembros y 2 Visitantes están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Julio 18, 2025, 12:54:28 AM


Una nueva familia de malware llamada LameHug utiliza un modelo de lenguaje extenso (LLM) para generar comandos que se ejecutan en sistemas Windows comprometidos.

LameHug fue descubierto por el equipo nacional de respuesta a incidentes cibernéticos de Ucrania (CERT-UA) y atribuyó los ataques al grupo de amenazas APT28, respaldado por el estado ruso (también conocido como Sednit, Sofacy, Pawn Storm, Fancy Bear, STRONTIUM, Tsar Team y Forest Blizzard).

El malware está escrito en Python y se basa en la API Hugging Face para interactuar con el LLM Qwen 2.5-Coder-32B-Instruct, que puede generar comandos según las indicaciones dadas.

Creado por Alibaba Cloud, el LLM es de código abierto y está diseñado específicamente para generar código, razonar y seguir instrucciones basadas en codificación. Puede convertir descripciones en lenguaje natural en código ejecutable (en varios idiomas) o comandos de shell.

CERT-UA encontró LameHug después de recibir informes el 10 de julio sobre correos electrónicos maliciosos enviados desde cuentas comprometidas y haciéndose pasar por funcionarios del ministerio, en un intento de distribuir el malware a los organismos gubernamentales ejecutivos.

Los correos electrónicos incluyen un archivo adjunto ZIP con un cargador de LameHub. CERT-UA ha detectado al menos tres variantes llamadas «Attachment.pif», «AI_generator_uncensored_Canvas_PRO_v0.9.exe» e «You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login».

La agencia ucraniana atribuye esta actividad con un nivel de confianza medio al grupo de amenazas ruso APT28.

En los ataques observados, LameHug se encargaba de ejecutar comandos de reconocimiento del sistema y robo de datos, generados dinámicamente mediante indicaciones al LLM.

LameHug utilizó estos comandos generados por IA para recopilar información del sistema y guardarla en un archivo de texto (info.txt), buscar de forma recursiva documentos en directorios clave de Windows (Documentos, Escritorio, Descargas) y filtrar los datos mediante solicitudes SFTP o HTTP POST.

Indicaciones enviadas al LLM para la generación de comandos


LameHug es el primer malware documentado públicamente que incluye compatibilidad con LLM para realizar las tareas del atacante.

Desde una perspectiva técnica, podría marcar el comienzo de un nuevo paradigma de ataque donde los actores de amenazas pueden adaptar sus tácticas durante una vulneración sin necesidad de nuevas cargas útiles.

Además, el uso de la infraestructura de Hugging Face para fines de comando y control puede ayudar a que la comunicación sea más sigilosa, manteniendo la intrusión sin ser detectada durante un período más prolongado.

El uso de comandos generados dinámicamente también puede ayudar a que el malware pase desapercibido para el software de seguridad o las herramientas de análisis estático que buscan comandos codificados.

CERT-UA no indicó si los comandos generados por LLM ejecutados por LameHug tuvieron éxito.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Imprimir
Ir Arriba Páginas1
Acciones del Usuario