Новое вредоносное программное обеспечение LameHug, обнаруженное специалистами в сфере киберугроз, активно задействует инструменты генеративного ИИ для формирования команд, предназначенных для запуска на заражённых Windows-устройствах. Эта программа создаёт инструкции в реальном времени и тем самым облегчает киберпреступникам доступ к конфиденциальным данным.
По информации, опубликованной экспертами по киберинцидентам, LameHug якобы связан с деятельностью известной хакерской группировки APT28. В международных кругах она также известна под псевдонимами Sednit, Sofacy, Pawn Storm, Fancy Bear, STRONTIUM, Tsar Team и Forest Blizzard. Данная структура уже не раз фигурировала в расследованиях, связанных с атаками на государственные и корпоративные системы.
По техническим данным, вредонос разработан на языке Python и использует возможности платформы Hugging Face. Через неё происходит интеграция с языковой моделью Qwen 2.5-Coder-32B-Instruct — это инструмент с открытым кодом, созданный компанией Alibaba Cloud. Он нацелен на интерпретацию описаний на естественном языке и перевод их в исполняемый код, а также команды для командной строки на разных языках программирования.
Исследователи установили, что заражение начинается с электронных писем, маскирующихся под сообщения от официальных структур. Вложения представлены в формате ZIP и содержат различные варианты загрузчиков вредоносного ПО, среди которых выделяются «Attachment.pif», «AI_generator_uncensored_Canvas_PRO_v0.9.exe» и «image.py». Эти элементы выступают в роли проводников для установки LameHug на целевые машины.
В процессе атак инструмент LameHug выполняет задачи, связанные с системной разведкой и выемкой информации. Используя команды, сформированные при помощи языковой модели, программа автоматически собирает данные об устройствах, а также производит поиск пользовательских файлов в стандартных папках Windows — «Рабочий стол», «Документы», «Загрузки». Выгрузка происходит с применением протоколов SFTP или HTTP POST, что позволяет злоумышленникам передавать файлы на удалённые серверы.