Il Computer Emergency Response Team of Ukraine (CERT-UA) ha recentemente svelato i dettagli di una sofisticata campagna di phishing mirata a diffondere un malware noto come LAMEHUG. Questo malware si distingue per l’uso innovativo di LLM (large language model), che consente la generazione di comandi basati su descrizioni testuali. L’annuncio è stato fatto giovedì, sottolineando l’importanza di questa minaccia.
Secondo CERT-UA, l’attività è stata attribuita con un livello di sicurezza medio a un gruppo di hacker sponsorizzato dallo stato russo, identificato come APT28. Questo gruppo è conosciuto anche con altri nomi, tra cui Fancy Bear, Forest Blizzard, Sednit, Sofacy e UAC-0001. La scoperta del malware è avvenuta dopo che l’agenzia ha ricevuto segnalazioni il 10 luglio 2025, riguardanti email sospette inviate da account compromessi che impersonavano funzionari del ministero.
Le email erano indirizzate principalmente alle autorità governative e contenevano un archivio ZIP che nascondeva il carico utile LAMEHUG. Questo era presentato sotto forma di tre varianti distinte: “Додаток.pif”, “AI_generator_uncensored_Canvas_PRO_v0.9.exe” e “image.py”. Sviluppato in Python, LAMEHUG sfrutta il modello di linguaggio Qwen2.5-Coder-32B-Instruct, creato da Alibaba Cloud, ottimizzato specificamente per compiti di codifica come generazione, ragionamento e correzione.
Fonte: The Hackers News
