Incident 1220: Le logiciel malveillant LAMEHUG intègrerait un modèle de langage étendu pour la génération de commandes en temps réel dans une cyberattaque présumée liée à APT28.

Description:

Les organismes ukrainiens CERT-UA et Cato CTRL ont signalé LAMEHUG, premier malware connu à intégrer un modèle de langage étendu (Qwen2.5-Coder-32B-Instruct via Hugging Face) pour la génération de commandes en temps réel. Attribué avec une confiance modérée à APT28 (Fancy Bear), ce malware aurait ciblé des responsables ukrainiens via des e-mails de phishing. Le LLM générerait dynamiquement des commandes de reconnaissance et d'exfiltration de données, exécutées sur les systèmes infectés.

Outils

Nouveau rapport Nouvelle Réponse DécouvrirVoir l'historique

Entités

Voir toutes les entités

Alleged: hugging face et Alibaba developed an AI system deployed by Fancy Bear et APT28, which harmed Ukrainian government officials , Ukrainian government ministries , State institutions targeted by espionage operations , Public sector information systems , National cybersecurity infrastructure of Ukraine , Government of Ukraine et National security and intelligence stakeholders.

Systèmes d'IA présumés impliqués: stayathomeclasses[.]com exfiltration endpoint , Qwen2.5-Coder-32B-Instruct , PyInstaller-compiled Python executables , LAMEHUG malware family , Hugging Face API platform , Flux AI image generation API et 144[.]126[.]202[.]227 SFTP server

Statistiques d'incidents

1220

Nombre de rapports

Date de l'incident

2025-07-10

Editeurs

Daniel Atherton

Rapports d'incidents

Chronologie du rapport

Cyberattaques UAC-0001 contre le secteur de la sécurité et de la défense utilisant l'outil logiciel LAMEHUG, qui utilise le LLM (grand modèle de langage) (CERT-UA#16039)

cert.gov.ua

Recherche sur les menaces Cato CTRL™ : analyse de LAMEHUG – premier malware connu basé sur LLM et lié à APT28 (Fancy Bear)

catonetworks.com

cert.gov.ua · 2025

Traduit par IA

Note de l'éditeur de l'AIID : Voir la source originale de ce rapport pour les données techniques supplémentaires fournies par le CERT-UA.

Informations générales

Le 10 juillet 2025, l'équipe nationale de réponse aux incidents cybernétiques, …

catonetworks.com · 2025

Traduit par IA

Résumé

Le 17 juillet 2025, l'équipe ukrainienne d'intervention d'urgence informatique (CERT-UA) a publiquement signalé LAMEHUG, documenté comme le premier logiciel malveillant connu intégrant des fonctionnalités de modèle de langage étendu …

Variantes

Une "Variante" est un incident de l'IA similaire à un cas connu—il a les mêmes causes, les mêmes dommages et le même système intelligent. Plutôt que de l'énumérer séparément, nous l'incluons sous le premier incident signalé. Contrairement aux autres incidents, les variantes n'ont pas besoin d'avoir été signalées en dehors de la base de données des incidents. En savoir plus sur le document de recherche.

Vous avez vu quelque chose de similaire ?

Incident précédent Prochain incident