Un nuevo malware llamado LameHug ha sido identificado por las autoridades ucranianas. Este programa malicioso utiliza inteligencia artificial para generar comandos de manera dinámica en sistemas Windows comprometidos.

El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) detectó esta amenaza en una reciente ola de ciberataques dirigida a organizaciones del sector seguridad y defensa del país. Con un nivel de confianza moderado, se ha atribuido la campaña al grupo de ciberespionaje APT28, conocido por estar vinculado a los servicios de inteligencia militar de Rusia.

El malware se distribuye mediante correos con archivos adjuntos maliciosos

CERT-UA informó, en una actualización publicada el 17 de julio, que los ataques comenzaron con correos electrónicos que suplantaban a funcionarios de ministerios ucranianos. Estos correos incluían un archivo comprimido llamado “Додаток.pdf.zip” (“Adjunto.pdf.zip”), que al descomprimirse contenía un archivo con extensión .pif.

Este ejecutable, creado con la herramienta PyInstaller basada en Python, fue identificado como el malware LameHug.

LameHug utiliza modelos de lenguaje para generar comandos en tiempo real

Lo que distingue a LameHug de otros programas maliciosos es su capacidad para usar un modelo de lenguaje de gran tamaño (LLM) con el fin de generar comandos sobre la marcha. El malware, escrito en Python, se conecta a la API de Hugging Face para interactuar con el modelo de código abierto Qwen2.5-Coder-32B-Instruct, desarrollado por Alibaba.

Según el equipo de IBM X-Force OSINT, este uso innovador de la inteligencia artificial permite a los atacantes adaptar sus tácticas durante una intrusión activa, sin necesidad de descargar nuevas cargas maliciosas. Esto dificulta la detección del malware por parte de herramientas de seguridad que dependen del análisis estático o de firmas conocidas.

CERT-UA también señaló que los correos maliciosos fueron enviados desde una cuenta de correo previamente comprometida, lo que incrementa su legitimidad.

APT28 continúa su campaña prolongada contra Ucrania

El grupo APT28, también conocido como Fancy Bear, Sednit, Pawn Storm y Forest Blizzard, ha estado activo desde al menos 2004. Es conocido por sus campañas de ciberespionaje y sabotaje dirigidas a Ucrania y sus aliados.

En 2023, CERT-UA informó que APT28 intentó sabotear infraestructura crítica de energía en Ucrania. En 2025, investigaciones revelaron que el grupo explotó una vulnerabilidad de día cero en el servidor de correo MDaemon (CVE-2024-11182) como parte de sus tácticas ofensivas.

Más recientemente, en mayo, se reportó que APT28 había estado dirigiéndose a empresas logísticas y tecnológicas occidentales que brindan apoyo a Ucrania, como parte de una campaña de ciberespionaje sostenida.

Fuente: https://www.infosecurity-magazine.com/news/new-lamehug-malware-deploys/