Noua amenințare pe Windows – LameHug, malware-ul care îți fură datele cu AI în timp real

Un nou tip de amenințare cibernetică, denumit LameHug, schimbă regulile jocului în securitatea IT. Acest malware folosește un model de inteligență artificială de tip Large Language Model (LLM) pentru a genera comenzi personalizate, executate direct pe sistemele Windows compromise.

Descoperirea a fost făcută de CERT-UA, echipa națională ucraineană de răspuns la incidente cibernetice, care atribuie atacurile grupării ruse APT28 (cunoscută și ca Fancy Bear, Sednit sau Sofacy), scrie publicația Bleeping Computer.

Cum funcționează LameHug și de ce este diferit de alte malware-uri

Spre deosebire de amenințările clasice, LameHug este scris în Python și se bazează pe API-ul Hugging Face pentru a interacționa cu modelul Qwen 2.5-Coder-32B-Instruct, un LLM open-source dezvoltat de Alibaba Cloud.

Modelul este optimizat pentru a genera cod, a interpreta descrieri în limbaj natural și a le transforma în comenzi executabile sau scripturi în diverse limbaje de programare.

CERT-UA a descoperit malware-ul după ce, pe 10 iulie, a primit sesizări privind emailuri malițioase trimise de pe conturi compromise care imitau oficiali guvernamentali.

Mesajele vizau distribuirea unui loader LameHug către instituții executive, sub forma unor atașamente ZIP cu fișiere precum Attachment.pif, AI_generator_uncensored_Canvas_PRO_v0.9.exe sau image.py.

După infectare, LameHug trimitea prompturi către LLM, cerând generarea unor comenzi pentru:

colectarea informațiilor despre sistem și salvarea lor în fișierul info.txt,
căutarea recursivă a documentelor în directoarele-cheie Windows (Documents, Desktop, Downloads),
exfiltrarea datelor prin protocoale SFTP sau HTTP POST.

De ce LameHug reprezintă un nou nivel al atacurilor cibernetice

Ceea ce face LameHug extrem de periculos este capacitatea sa de adaptare în timp real. În loc să folosească un set fix de comenzi, malware-ul generează dinamic instrucțiuni în funcție de răspunsurile LLM-ului, ceea ce îl ajută să evite detectarea de către soluțiile de securitate care caută pattern-uri cunoscute.

Mai mult, folosirea infrastructurii Hugging Face pentru comunicarea cu modelul AI îi conferă atacului un nivel suplimentar de discreție, îngreunând identificarea traficului malițios.

Practic, amenințarea deschide calea unui nou tip de paradigmă în atacurile cibernetice, unde actorii de tip APT pot modifica tactici fără a distribui payload-uri noi.

CERT-UA nu a confirmat dacă comenzile generate au avut succes în furtul de date, însă experții avertizează că LameHug este primul malware documentat public care integrează suport LLM pentru a executa sarcini malițioase.

Acest lucru ar putea marca începutul unei ere în care AI devine un instrument-cheie pentru grupările de hackeri sponsorizate de state.