Μια νέα, εξελιγμένη μορφή κακόβουλου λογισμικού που ονομάζεται LAMEHUG χρησιμοποιεί την τεχνητή νοημοσύνη για να εξαπολύει επιθέσεις σε συστήματα Windows, σηματοδοτώντας μια δυνητικά επικίνδυνη νέα εποχή στον κυβερνοπόλεμο. Ανακαλύφθηκε από την Εθνική Ομάδα Αντιμετώπισης Έκτακτων Αναγκών στον τομέα της Πληροφορικής της Ουκρανίας (CERT-UA), αυτό το κακόβουλο λογισμικό είναι το πρώτο του είδους του που τεκμηριώνεται δημόσια ότι ενσωματώνει ένα μεγάλο γλωσσικό μοντέλο (LLM) για τη δυναμική δημιουργία κακόβουλων εντολών.
Οι ουκρανικές αρχές απέδωσαν την επίθεση, με μέτρια βεβαιότητα, στην APT28, μια ομάδα που συνδέεται με τη ρωσική στρατιωτική υπηρεσία πληροφοριών (GRU) και είναι επίσης γνωστή με διάφορα ονόματα όπως Fancy Bear, Sednit και Sofacy Group. Η APT28 δραστηριοποιείται τουλάχιστον από το 2004 και έχει μακρά ιστορία στοχευμένων κυβερνοεπιθέσεων κατά της Ουκρανίας.
Το LAMEHUG διανέμεται κυρίως μέσω εκστρατειών ηλεκτρονικού ψαρέματος (phishing). Στις 10 Ιουλίου 2025, η CERT-UA εντόπισε μια εκστρατεία που στόχευε εκτελεστικές αρχές με ένα αρχείο ZIP που παρουσιαζόταν ως έγγραφο υπουργείου. Το αρχείο περιείχε το κακόβουλο λογισμικό LAMEHUG μεταμφιεσμένο σε αρχείο .pif, το οποίο είναι ένα εκτελέσιμο αρχείο γραμμένο σε Python και πακεταρισμένο με το PyInstaller.
Αυτό που κάνει το LAMEHUG ιδιαίτερα καινοτόμο και επικίνδυνο είναι η χρήση του LLM. Συγκεκριμένα, το κακόβουλο λογισμικό χρησιμοποιεί το Qwen 2.5-Coder-32B-Instruct, ένα μεγάλο γλωσσικό μοντέλο ανοιχτού κώδικα που αναπτύχθηκε από την Alibaba Cloud, μέσω του API της υπηρεσίας huggingface.co. Αυτό το LLM είναι βελτιστοποιημένο για εργασίες κωδικοποίησης και μπορεί να μετατρέψει περιγραφές φυσικής γλώσσας σε εκτελέσιμο κώδικα ή εντολές κελύφους. Αυτή η δυνατότητα επιτρέπει στους επιτιθέμενους να προσαρμόζουν τις τακτικές τους κατά τη διάρκεια μιας παραβίασης χωρίς να χρειάζονται νέα ωφέλιμα φορτία, καθιστώντας το κακόβουλο λογισμικό πιο δύσκολο να εντοπιστεί από το λογισμικό ασφαλείας.
Μόλις μολύνει ένα σύστημα, το LAMEHUG εκτελεί εντολές αναγνώρισης συστήματος και κλοπής δεδομένων. Συλλέγει βασικές πληροφορίες για τον υπολογιστή, όπως υλικό, διεργασίες, υπηρεσίες και συνδέσεις δικτύου, και τις αποθηκεύει σε ένα αρχείο κειμένου. Στη συνέχεια, αναζητά αναδρομικά έγγραφα του Microsoft Office, PDF και αρχεία TXT στους συνήθεις φακέλους όπως "Έγγραφα", "Λήψεις" και "Επιφάνεια εργασίας". Τα δεδομένα που συλλέγονται εξάγονται στη συνέχεια μέσω SFTP ή αιτήσεων HTTP POST σε διακομιστές που ελέγχονται από τους επιτιθέμενους.
Η εμφάνιση του LAMEHUG αντιπροσωπεύει μια σημαντική εξέλιξη στις κυβερνοαπειλές. Η χρήση δυναμικά παραγόμενων εντολών μπορεί να βοηθήσει το κακόβουλο λογισμικό να παραμείνει απαρατήρητο από το λογισμικό ασφαλείας ή τα εργαλεία στατικής ανάλυσης που αναζητούν σκληρά κωδικοποιημένες εντολές. Επιπλέον, η αξιοποίηση της υποδομής του Hugging Face για σκοπούς διοίκησης και ελέγχου μπορεί να βοηθήσει στο να γίνει η επικοινωνία πιο μυστική, διατηρώντας την εισβολή απαρατήρητη για μεγαλύτερο χρονικό διάστημα. Οι ειδικοί σε θέματα ασφάλειας προειδοποιούν ότι αυτό θα μπορούσε να εγκαινιάσει ένα νέο πρότυπο επίθεσης όπου οι φορείς απειλών μπορούν να προσαρμόζουν τις τακτικές τους κατά τη διάρκεια μιας παραβίασης χωρίς να χρειάζονται νέα ωφέλιμα φορτία.
Ενώ η CERT-UA δεν επιβεβαίωσε εάν οι εντολές που δημιουργήθηκαν από την τεχνητή νοημοσύνη εκτελέστηκαν με επιτυχία, η ίδια η ύπαρξη του LAMEHUG χρησιμεύει ως μια έντονη προειδοποίηση. Καθώς η τεχνητή νοημοσύνη γίνεται όλο και πιο προσιτή, η πιθανότητα οι φορείς απειλών να την αξιοποιήσουν για κακόβουλους σκοπούς αυξάνεται. Αυτή η εξέλιξη υπογραμμίζει την κρίσιμη ανάγκη για συνεχή καινοτομία στις αμυντικές στρατηγικές κυβερνοασφάλειας για την αντιμετώπιση αυτών των εξελισσόμενων απειλών.