LAMEHUG es el primer malware documentado en integrar un Modelo de Lenguaje (LLM), específicamente Qwen 2.5-Coder-32B-Instruct a través de la API de Hugging Face, para generar comandos del sistema de forma dinámica y adaptativa en tiempo real. Este desarrollo marca un avance significativo en las tácticas de malware, atribuyéndose con cierto grado de confianza al grupo APT28 (Fancy Bear). La primera alerta pública fue emitida por el CERT de Ucrania (CERT-UA) en julio de 2025.
Técnica y Funcionamiento de LAMEHUG
- LAMEHUG opera como un malware de “golpe rápido y robo” (smash & grab), priorizando el reconocimiento dinámico y la exfiltración de datos sobre la persistencia a largo plazo.
- Vector de entrada: Correos de Spear-phishing que utilizan cuentas oficiales comprometidas (supuestamente ministerios de Ucrania) con archivos ZIP adjuntos engañosos (ej., Appendix.pdf.zip).
- Archivo Ejecutable Oculto: Dentro del ZIP hay un archivo ejecutable con extensión .pif (o variantes disfrazadas) que contiene código Python empaquetado con PyInstaller.
- Modelo de Lenguaje Integrado: LAMEHUG llama al LLM Qwen 2.5-Coder-32B-Instruct (vía API de Hugging Face) para traducir instrucciones de texto (prompts) codificados en Base64 en comandos del sistema ejecutables.
- Reconocimiento Dinámico: Genera comandos en tiempo real para obtener información del sistema (hardware, redes, usuarios, directorios), adaptándose al host infectado.
- Recolección de Datos: Busca archivos específicos (Office, PDF, TXT) en carpetas clave (Documents, Desktop), los consolida en %PROGRAMDATA%info.
- Exfiltración: Envía los datos consolidados hacia servidores C2 mediante SFTP o HTTP POST.
- Sin Persistencia Prolongada: No se ha documentado un mecanismo complejo de persistencia a largo plazo.
Puntos Críticos de Detección
El uso de un LLM externo introduce desafíos significativos para la ciberseguridad:
- Comunicaciones disfrazadas: El tráfico saliente hacia la API de Hugging Face es un tráfico legítimo a un servicio de IA, lo que puede ser descartado como benigno por los sistemas de filtrado de red.
- Capacidad Evolutiva: Los atacantes pueden cambiar la lógica de comandos simplemente modificando los avisos del LLM en el servidor C2, sin necesidad de recompilar o volver a enviar el binario LAMEHUG.
- Escasez de Firmas Útiles: Dado que los comandos del sistema se generan dinámicamente por el LLM, no existen patrones fijos o hashes predecibles. La detección debe basarse en el comportamiento anómalo, no en firmas.
Recomendaciones
Control del correo y phishing
- Filtros de Correo: Configurar filtros para detectar archivos ZIP sospechosos y archivos con extensiones inusuales (.pif) o doble extensión.
- Autenticación de Remitentes: Verificar la legitimidad de los remitentes (spear-phishing) y habilitar mecanismos de autenticación de correo (DMARC, DKIM, SPF).
Restricción de Ejecución de Código
- Políticas de control: Aplique políticas de control de aplicaciones (AppLocker, Windows Defender Application Control) para impedir la ejecución de archivos .pif u otros ejecutables desconocidos en las máquinas de los usuarios.
- Limitación de intérpretes: Restringir que intérpretes como Python se utilicen libremente por los usuarios sin la supervisión adecuada.
Monitoreo de Comportamiento Anómalo
- Alertas de IA/API: Crear alertas para conexiones salientes inusuales hacia servicios de IA o API externas (ej., Hugging Face) que no forman parte del uso normal del entorno de la organización.
