LameHug

🔍 Contexte Publié le 11 juin 2026 par Sekoia Threat Detection & Research (TDR), cet article constitue une rétrospective analytique de deux décennies d’activité d’APT28 (alias Fancy Bear, Forest Blizzard, Sednit, GRU Unit 26165). Il s’inscrit dans un effort coordonné de publication impliquant des agences gouvernementales et des vendeurs privés, dont le FBI, visant à contraindre les opérations cyber du GRU. 🕰️ Ère 2004–2018 : La chaîne d’implants signature APT28 opère une chaîne d’implants stable reposant sur : ...

Selon Picus Security, s’appuyant sur une découverte du CERT ukrainien, un nouveau malware baptisé LameHug et attribué à APT28 (Fancy Bear) constitue le premier cas documenté publiquement d’un logiciel malveillant intégrant opérationnellement un LLM pour générer des commandes en temps réel. LameHug est un infostealer Python déployé via des campagnes de spear-phishing ciblant des agences gouvernementales ukrainiennes. Il utilise le modèle Qwen 2.5-Coder-32B-Instruct d’Alibaba Cloud via l’API Hugging Face pour produire à la volée des chaînes de commandes Windows, permettant des attaques adaptatives sans mise à jour binaire et en évitant les signatures traditionnelles. 🤖 ...

L’actualité provient de la société Cato Networks et met en lumière une avancée significative dans l’utilisation de l’intelligence artificielle par des acteurs malveillants. LAMEHUG, attribué à APT28 (Fancy Bear), est le premier malware connu à intégrer des capacités de modèles de langage dans sa méthodologie d’attaque. Ce malware cible les officiels du gouvernement ukrainien via des emails de phishing et utilise le modèle Qwen2.5-Coder-32B-Instruct via l’API de Hugging Face pour générer des commandes dynamiques destinées à la reconnaissance système et à l’exfiltration de données. Cela marque une nouvelle ère où les acteurs de la menace exploitent les technologies d’IA pour améliorer leurs capacités d’attaque. ...