Il malware LameHug utilizza modelli LLM per creare comandi dedicati al furto di dati sui sistemi Windows infetti. L’Ucraina lo collega al gruppo APT28 legato alla Russia.
“Rappresenta un preoccupante salto evolutivo nella information warfare”, commenta Pierluigi Paganini, analista di cyber security e Ceo Cybhorus.
Ecco perché e come proteggersi.
Indice degli argomenti
LameHug: frutto dell’AI e collegato al gruppo APT28
Il CERT-UA ucraino avverte di un nuovo ceppo di malware, denominato LameHug, che sfrutta un modello linguistico di grandi dimensioni (LLM) per generare comandi da eseguire sui sistemi Windows compromessi.
“LameHug è il primo caso documentato di un malware che sfrutta un modello linguistico di intelligenza artificiale per generare comandi malevoli in modo dinamico”, spiega Paganini.
Gli esperti ucraini attribuiscono il malware alla cyber gang legata alla Russia APT28 (alias UAC-0001, Fancy Bear, Pawn Storm, Sofacy Group, Sednit, BlueDelta e Strontium).
“Attribuito con moderata certezza al gruppo russo APT28, noto attore statale legato al Cremlino, LameHug dimostra come l’uso dell’AI possa potenziare la flessibilità e la pericolosità degli attacchi“, conferma Paganini.
“Una caratteristica evidente di LameHug è infatti l’uso di LLM (large language model), utilizzato per generare comandi in base alla loro rappresentazione testuale (descrizione)”, si legge nell’avviso del CERT-UA: “Con un livello moderato di fiducia, l’attività è associata a quella di UAC-0001 (APT28)”.
Il 10 luglio 2025, il CERT-UA ha infatti identificato una campagna di phishing rivolta alle autorità esecutive con un file ZIP che si spacciava per un documento del ministero.
“Scoperto da CERT-UA in una campagna di phishing contro enti governativi ucraini, il malware utilizza il modello Qwen 2.5-Coder-32B-Instruct per adattare in tempo reale i comandi da eseguire sulle macchine infette, aprendo scenari inquietanti per il futuro della cyber sicurezza”, mette in guardia Paganini.
L’archivio conteneva il malware LameHug camuffato da file .pif, sviluppato in Python tramite PyInstaller. Gli esperti hanno trovato due varianti con diversi metodi di furto dei dati. Gli aggressori hanno utilizzato un account email compromesso, ospitando la loro infrastruttura su piattaforme legittime ma compromesse.
LameHug sfrutta i modelli LLM
LameHug utilizza LLM Qwen 2.5-Coder-32B-Instruct tramite l’API del servizio huggingface[.]co per generare comandi basati su testo inserito staticamente (descrizione).
Qwen 2.5-Coder-32B-Instruct è un modello linguistico open-source di grandi dimensioni sviluppato dal team Qwen di Alibaba, ottimizzato specificamente per le attività di codifica.
Il malware raccoglie informazioni sul sistema e cerca i file Office, PDF e TXT nelle cartelle comuni. Memorizza i dati localmente, quindi li esfiltra tramite SFTP o HTTP POST.
Come proteggersi da LameHug
LameHug è il primo malware conosciuto a utilizzare un LLM per generare comandi di attacco, consentendo agli attori delle minacce di adattare la loro catena di attacco alle esigenze reali.
“In particolare, prevede la raccolta (e la memorizzazione nel file ”%PROGRAMDATA%\info.txt“) di informazioni di base sul computer (hardware, processi, servizi, connessioni di rete), nonché la ricerca ricorsiva di documenti Microsoft Office (inclusi TXT, PDF) nelle directory ”Documenti“, ”Download“ e ‘Desktop’ e la loro copia nella cartella ”%PROGRAMDATA%\info\”.
L’infiltrazione delle informazioni e dei file ricevuti (in diverse versioni del programma) può essere effettuata utilizzando richieste SFTP o HTTP POST”, prosegue l’alert ucraino.
Per proteggersi, si raccomanda di adottare anti-APT, EDR e XDR, oltre a sfruttare la Threat Intelligence. Di fronte a minacce sempre più sofisticate, diversificate, capaci di adattarsi per essere efficaci e andare a segno, servono strategie come Defense in Depth e Zero Trust per mitigare i rischi associati. Urgono protezione in tempo reale, visibilità delle minacce, opzioni di indagine.
“L’utilizzo di LLM in contesti come questo inevitabilmente rischia di portare conflitti a dimensioni imprevedibili, probabilmente una disputa tra macchine, impegnate in attacco e difesa, in cui il fattore umano potrebbe ben presto risultare ininfluente”, conclude Paganini.
