Selon Picus Security, s’appuyant sur une découverte du CERT ukrainien, un nouveau malware baptisé LameHug et attribué à APT28 (Fancy Bear) constitue le premier cas documenté publiquement d’un logiciel malveillant intégrant opérationnellement un LLM pour générer des commandes en temps réel.
LameHug est un infostealer Python déployé via des campagnes de spear-phishing ciblant des agences gouvernementales ukrainiennes. Il utilise le modèle Qwen 2.5-Coder-32B-Instruct d’Alibaba Cloud via l’API Hugging Face pour produire à la volée des chaînes de commandes Windows, permettant des attaques adaptatives sans mise à jour binaire et en évitant les signatures traditionnelles. 🤖
Sur le plan technique, le malware est distribué dans des archives ZIP contenant des exécutables .pif qui lancent du code Python en mémoire via PyInstaller. Il envoie des prompts encodés en base64 au LLM et reçoit des commandes orientées reconnaissance (systeminfo, wmic, tasklist, netstat) et collecte de fichiers (documents Office, PDF, TXT). Les données sont mises en scène dans %ProgramData%\info\ puis exfiltrées via SFTP ou HTTP POST vers une infrastructure compromise, tout en mélangeant le trafic C2 avec des requêtes API légitimes. 🔍📁
Impact et portée: la combinaison des tactiques classiques d’APT28 avec l’automatisation par LLM marque une évolution notable des capacités d’acteurs étatiques, permettant une génération dynamique de commandes et une adaptation en temps réel des opérations de vol d’informations contre des cibles gouvernementales ukrainiennes.
IOCs (indicateurs) connus:
- Chemin de staging: %ProgramData%\info\
- Types de fichiers ciblés: documents Office, PDF, TXT
- Artefacts de livraison: archives ZIP avec exécutables .pif
TTPs observés:
- Livraison par spear-phishing 🎣
- Exécution en mémoire via PyInstaller
- Prompts base64 envoyés à un LLM (Qwen via Hugging Face API) pour la génération dynamique de commandes
- Reconnaissance système: systeminfo, wmic, tasklist, netstat
- Exfiltration via SFTP ou HTTP POST
- Dissimulation en mimant du trafic API légitime
Il s’agit d’une analyse de menace présentant les capacités, le mode opératoire et l’intégration LLM d’un nouveau malware attribué à APT28.
🧠 TTPs et IOCs détectés
TTPs
Spear-phishing, Exécution en mémoire via PyInstaller, Prompts base64 envoyés à un LLM pour la génération dynamique de commandes, Reconnaissance système (systeminfo, wmic, tasklist, netstat), Exfiltration via SFTP ou HTTP POST, Dissimulation en mimant du trafic API légitime
IOCs
Chemin de staging: %ProgramData%\info, Types de fichiers ciblés: documents Office, PDF, TXT, Artefacts de livraison: archives ZIP avec exécutables .pif
🔗 Source originale : https://www.picussecurity.com/resource/blog/lamehug-the-first-publicly-documented-case-of-a-malware-integrating-a-llm