L’ultimo allarme per la cybersecurity arriva dalla scoperta di LameHug, una minaccia informatica di nuova generazione che segna un punto di svolta nell’evoluzione dei malware: per la prima volta, un software malevolo sfrutta il potenziale dei LLM (Large Language Models) per orchestrare attacchi sofisticati e adattivi contro sistemi Windows.
La scoperta di LameHug è stata effettuata dal team nazionale ucraino di risposta agli incidenti informatici (CERT-UA), che ha rilevato una campagna particolarmente insidiosa orchestrata dal noto gruppo APT28, anche conosciuto come Fancy Bear. Questa organizzazione, associata ai servizi di intelligence russi, è tristemente famosa per aver condotto attacchi contro istituzioni governative di rilievo internazionale, confermando ancora una volta il ruolo centrale degli attori statali nelle nuove forme di guerra cibernetica.
L’architettura di LameHug
L’elemento distintivo di LameHug risiede nella sua architettura, sviluppata in Python e integrata con l’API di Hugging Face, piattaforma leader nell’ambito dell’intelligenza artificiale. In particolare, il malware sfrutta il modello Qwen 2.5 Coder 32B Instruct di Alibaba Cloud, che consente di tradurre in tempo reale istruzioni in linguaggio naturale in comandi eseguibili, offrendo agli attaccanti un’inedita flessibilità operativa. Grazie a questa integrazione, il software malevolo è in grado di adattarsi dinamicamente alle esigenze del momento, superando i limiti dei malware tradizionali basati su script statici.
La campagna malevola
La campagna malevola è stata identificata quando una serie di email fraudolente, abilmente camuffate da comunicazioni ufficiali di ministeri ucraini, sono state recapitate a enti governativi di alto profilo. All’interno di queste email si celavano archivi ZIP contenenti diverse varianti del loader LameHug, tra cui file con estensioni .pif, .exe e .py, in grado di eludere le prime barriere difensive dei sistemi Windows.
Come lavora il malware?
Una volta installato sul sistema bersaglio, il malware avvia una comunicazione con il modello LLM tramite l’infrastruttura di Hugging Face, generando comandi personalizzati per la raccolta di informazioni dettagliate sul computer infetto.
Tra le attività principali figurano la ricerca di documenti sensibili nelle directory principali di Windows e la trasmissione dei dati esfiltrati agli attaccanti. Per il trasferimento delle informazioni rubate, LameHug utilizza protocolli come SFTP e HTTP POST, garantendo una comunicazione efficiente e discreta con i server di comando e controllo.
Il ricorso a comandi generati dinamicamente dal modello LLM rappresenta un vantaggio tattico senza precedenti per gli aggressori: grazie a questa strategia, il malware riesce a eludere i sistemi di sicurezza tradizionali, spesso basati sull’identificazione di pattern noti. In altre parole, l’intelligenza artificiale offre ai cybercriminali la possibilità di personalizzare in tempo reale le azioni malevole, rendendo molto più complesso il compito degli analisti di sicurezza.
L’infrastruttura legittima di Hugging Face
Un ulteriore elemento di preoccupazione è costituito dall’uso dell’infrastruttura legittima di Hugging Face come canale di comando e controllo. Questa scelta consente di mascherare il traffico malevolo tra le normali richieste di servizi AI, rendendo estremamente difficile il rilevamento delle intrusioni e l’identificazione delle attività sospette da parte dei sistemi di monitoraggio di rete.
Nonostante al momento non sia stato confermato se i comandi generati dall’AI siano stati eseguiti con successo sui sistemi compromessi, la scoperta di LameHug evidenzia l’urgenza di rivedere le strategie difensive in ambito cybersecurity.