El panorama de la ciberseguridad ha sido testigo de un desarrollo innovador y preocupante con la aparición de Lamehug, el primer malware documentado públicamente para integrar las capacidades de inteligencia artificial para los ataques cibernéticos automatizados.
Este sofisticado malware, desarrollado por el notorio grupo de actores de amenaza rusa APT28 (también conocido como UAC-0001 y Forest Blizzard), representa una evolución significativa en las tácticas de guerra cibernética, particularmente dirigida al sector de seguridad y defensa de Ucrania en medio del conflicto en curso.
Lamehug opera a través de una cadena de ataque cuidadosamente orquestada que comienza con los correos electrónicos de phishing enviados desde cuentas oficiales del gobierno comprometidas, prestando credibilidad a las comunicaciones maliciosas.
Correo electrónico malicioso que entrega malware Lamehug (fuente – logpoint)
Los atacantes se disfrazan de representantes de los ministerios gubernamentales, distribuyendo archivos zip que contienen archivos ejecutables con nombres aparentemente legítimos como “Apéndice.pdf.zip”.
Sin embargo, estos archivos contienen archivos .pif maliciosos creados con Pyinstaller del código fuente de Python, marcando el comienzo de un sofisticado proceso de infiltración.
Lo que distingue a LameHug del malware convencional es su integración del modelo de instrucciones QWEN 2.5 codificador-32B accedido a través de la API de la cara abrazada.
Analistas de logpoint identificado que este enfoque con AI permite que el malware traduzca las instrucciones del lenguaje natural en comandos del sistema ejecutable, proporcionando flexibilidad sin precedentes en la ejecución de ataque.
El malware puede generar dinámicamente los comandos de reconocimiento y robo de datos basados en indicaciones textuales, eliminando la necesidad de secuencias de ataque preprogramadas.
Las indicaciones de LLM utilizadas para la generación de comandos (fuente – logpoint)
Las capacidades operativas del malware se extienden mucho más allá de las herramientas de reconocimiento tradicionales, ya que puede adaptar su comportamiento en función de las respuestas generadas por IA.
Esta naturaleza adaptativa hace que Lamehug sea particularmente peligroso, ya que puede modificar sus tácticas en tiempo real en función del entorno objetivo y los objetivos en evolución del atacante.
A-Drive Reconocimiento y mecanismo de exfiltración de datos
La característica más sofisticada de Lamehug se encuentra en sus capacidades de reconocimiento asistidas por AI-AI, que demuestran la capacidad del malware para realizar una enumeración integral del sistema a través de comandos generados dinámicamente.
El malware crea un directorio de estadificación en %ProgramData %\ Info \ y recopila sistemáticamente información del sistema utilizando una secuencia de comando compleja que incluye más de 20 operaciones de reconocimiento diferentes.
La secuencia de comandos generada por IA abarca la recopilación crítica del sistema del sistema, incluidas las especificaciones de hardware a través de consultas WMIC, detalles de configuración de red, privilegios de usuario y enumeración de Active Directory.
Una secuencia de reconocimiento típica incluye comandos como SystemInfo >> %ProgramData %\ Info \ Info.txt y WMIC ComputerSystem obtienen nombre, fabricante, modelo >> %ProgramData %\ info \ info.txt, creando sistemáticamente un perfil integral del sistema comprometido.
Después del reconocimiento, LameHug busca recursivamente a través de documentos, escritorio y descarga carpetas para identificar y organizar documentos para la exfiltración.
Luego, el malware emplea múltiples métodos de exfiltración, incluidas las solicitudes postales de SFTP y HTTP, para transmitir datos recopilados a la infraestructura controlada por los atacantes en las direcciones IP 144.126.202.227 y 192.36.27.37, junto con dominios como Stayathomeclasses.com.
Este enfoque de múltiples vectores garantiza una extracción de datos confiable al tiempo que mantiene la seguridad operativa para los actores de amenaza.
Integre cualquiera. Pruebe 50 búsquedas de prueba gratuitas
