Incidente 1220: El malware LAMEHUG integra un modelo de lenguaje grande para la generación de comandos en tiempo real en un supuesto ciberataque vinculado a APT28

Descripción:

El CERT-UA de Ucrania y Cato CTRL informaron sobre LAMEHUG, el primer malware conocido que integra un modelo de lenguaje extenso (Qwen2.5-Coder-32B-Instruct mediante Hugging Face) para la generación de comandos en tiempo real. Atribuido con cierta certeza a APT28 (Fancy Bear), el malware supuestamente atacaba a funcionarios ucranianos mediante correos electrónicos de phishing. Se informa que LLM generó dinámicamente comandos de reconocimiento y exfiltración de datos que se ejecutaron en sistemas infectados.

Herramientas

Nuevo Informe Nueva Respuesta DescubrirVer Historial

Entidades

Ver todas las entidades

Alleged: Alibaba y hugging face developed an AI system deployed by APT28 y Fancy Bear, which harmed Government of Ukraine , Ukrainian government ministries , Ukrainian government officials , Public sector information systems , National cybersecurity infrastructure of Ukraine y State institutions targeted by espionage operations.

Sistemas de IA presuntamente implicados: Qwen2.5-Coder-32B-Instruct , Hugging Face API platform , LAMEHUG malware family , PyInstaller-compiled Python executables , Flux AI image generation API , stayathomeclasses[.]com exfiltration endpoint y 144[.]126[.]202[.]227 SFTP server

Estadísticas de incidentes

1220

Cantidad de informes

Fecha del Incidente

2025-07-10

Editores

Daniel Atherton

Informes del Incidente

Cronología de Informes

Ciberataques UAC-0001 al sector de seguridad y defensa mediante la herramienta de software LAMEHUG, que utiliza LLM (modelo de lenguaje grande) (CERT-UA#16039)

cert.gov.ua

Investigación de amenazas de Cato CTRL™: Análisis de LAMEHUG, el primer malware conocido basado en LLM vinculado a APT28 (Fancy Bear)

catonetworks.com

cert.gov.ua · 2025

Traducido por IA

Nota del editor de AIID: Consulte la fuente original de este informe para obtener los datos técnicos adicionales que proporciona CERT-UA.

Información general

El 10 de julio de 2025, el Equipo Nacional de Respuesta a Ciberincidentes, Ciberat…

catonetworks.com · 2025

Traducido por IA

Resumen ejecutivo

El 17 de julio de 2025, el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) reportó públicamente LAMEHUG, documentado como el primer malware conocido que integra capacidades de modelo de lenguaje grande …

Variantes

Una "Variante" es un incidente de IA similar a un caso conocido—tiene los mismos causantes, daños y sistema de IA. En lugar de enumerarlo por separado, lo agrupamos bajo el primer incidente informado. A diferencia de otros incidentes, las variantes no necesitan haber sido informadas fuera de la AIID. Obtenga más información del trabajo de investigación.

¿Has visto algo similar?

Incidente Anterior Siguiente Incidente