Incidentes Asociados
Nota del editor de AIID: Consulte la fuente original de este informe para obtener los datos técnicos adicionales que proporciona CERT-UA.
Información general
El 10 de julio de 2025, el Equipo Nacional de Respuesta a Ciberincidentes, Ciberataques y Ciberamenazas de CERT-UA recibió información sobre la distribución entre las autoridades ejecutivas, presuntamente en nombre de un representante del ministerio pertinente, de correos electrónicos con un archivo adjunto en forma de "Appendix.pdf.zip".
El archivo ZIP mencionado contenía un archivo ejecutable del mismo nombre con la extensión ".pif", convertido mediante PyInstaller a partir del código fuente desarrollado en el lenguaje de programación Python, clasificado por CERT-UA como una herramienta de software (maliciosa) LAMEHUG.
Durante la investigación del incidente, se descubrieron además al menos dos variantes de la herramienta de software mencionada: los archivos "AI_generator_uncensored_Canvas_PRO_v0.9.exe" e "image.py", con diferencias funcionales en el método de exfiltración de datos de un ordenador.
Cabe destacar que se utilizó una cuenta de correo electrónico comprometida para distribuir correos electrónicos, y que la infraestructura de gestión se implementó en recursos legítimos, pero comprometidos.
Una característica evidente de LAMEHUG es el uso de LLM (modelo de lenguaje grande), utilizado para generar comandos basados en su representación textual (descripción).
Con un nivel de confianza moderado, la actividad se asocia con las actividades de UAC-0001 (APT28).
LAMEHUG es un programa desarrollado con el lenguaje de programación Python. Utiliza LLM Qwen 2.5-Coder-32B-Instruct a través de la API del servicio huggingface[.]co para generar comandos basados en texto introducido estáticamente (descripción) para su posterior ejecución en un ordenador. En particular, permite recopilar (y almacenar en el archivo "%PROGRAMDATA%\info\info.txt") información básica del equipo (hardware, procesos, servicios, conexiones de red), así como buscar recursivamente documentos de Microsoft Office (incluidos TXT y PDF) en los directorios "Documentos", "Descargas" y "Escritorio" y copiarlos a la carpeta "%PROGRAMDATA%\info". La exfiltración de la información y los archivos recibidos (en diferentes versiones del programa) puede realizarse mediante solicitudes SFTP o HTTP POST.