L’actualité provient de la société Cato Networks et met en lumière une avancée significative dans l’utilisation de l’intelligence artificielle par des acteurs malveillants. LAMEHUG, attribué à APT28 (Fancy Bear), est le premier malware connu à intégrer des capacités de modèles de langage dans sa méthodologie d’attaque.
Ce malware cible les officiels du gouvernement ukrainien via des emails de phishing et utilise le modèle Qwen2.5-Coder-32B-Instruct via l’API de Hugging Face pour générer des commandes dynamiques destinées à la reconnaissance système et à l’exfiltration de données. Cela marque une nouvelle ère où les acteurs de la menace exploitent les technologies d’IA pour améliorer leurs capacités d’attaque.
Techniquement, LAMEHUG envoie des prompts encodés en base64 au modèle de langage pour générer des séquences de commandes exécutables. Le malware utilise des exécutables Python compilés avec PyInstaller et distribués via des archives ZIP. Il implémente deux méthodes d’exfiltration : SFTP et HTTP POST.
Les commandes générées permettent une reconnaissance approfondie, incluant l’énumération du matériel, les requêtes Active Directory, et la liste des processus. Les données sont stockées dans *%PROGRAMDATA%\info* avant d’être exfiltrées vers une infrastructure contrôlée par l’attaquant.
Cet article est une analyse de menace qui vise à informer sur l’émergence de l’IA dans les opérations cybernétiques parrainées par l’État.
🧠 TTPs et IOCs détectés
TTP
T1566.001 - Spearphishing Attachment, T1059.007 - Command and Scripting Interpreter: JavaScript, T1027 - Obfuscated Files or Information, T1203 - Exploitation for Client Execution, T1105 - Ingress Tool Transfer, T1041 - Exfiltration Over C2 Channel, T1071.001 - Application Layer Protocol: Web Protocols, T1071.002 - Application Layer Protocol: File Transfer Protocols, T1083 - File and Directory Discovery, T1018 - Remote System Discovery, T1082 - System Information Discovery
IOC
N/A
🔗 Source originale : https://www.catonetworks.com/blog/cato-ctrl-threat-research-analyzing-lamehug/