Incidents associés
Note de l'éditeur de l'AIID : Voir la source originale de ce rapport pour les données techniques supplémentaires fournies par le CERT-UA.
Informations générales
Le 10 juillet 2025, l'équipe nationale de réponse aux incidents cybernétiques, aux cyberattaques et aux cybermenaces (CERT-UA) a reçu des informations concernant la diffusion auprès des autorités exécutives, prétendument au nom d'un représentant du ministère concerné, de courriels contenant une pièce jointe au format « Appendix.pdf.zip ».
L'archive ZIP susmentionnée contenait un fichier exécutable du même nom avec l'extension « .pif », converti à l'aide de PyInstaller à partir du code source développé en langage Python, classé par le CERT-UA comme un logiciel malveillant LAMEHUG.
Lors de l'enquête sur l'incident, au moins deux variantes de l'outil logiciel susmentionné ont également été découvertes : les fichiers « AI_generator_uncensored_Canvas_PRO_v0.9.exe » et « image.py », présentant des différences fonctionnelles dans la méthode d'extraction des données d'un ordinateur.
Il est à noter qu'un compte de messagerie compromis a été utilisé pour distribuer les e-mails et que l'infrastructure de gestion a été déployée sur des ressources légitimes, mais compromises.
Une caractéristique évidente de LAMEHUG est l'utilisation du LLM (Large Language Model), qui permet de générer des commandes à partir de leur représentation textuelle (description).
Avec un niveau de confiance modéré, l'activité est associée aux activités de l'UAC-0001 (APT28).
LAMEHUG est un programme développé en Python. Il utilise LLM Qwen 2.5-Coder-32B-Instruct via l'API du service huggingface[.]co pour générer des commandes à partir de texte saisi statiquement (description) en vue de leur exécution ultérieure sur un ordinateur. Il permet notamment la collecte (et le stockage dans le fichier « %PROGRAMDATA%\info\info.txt ») d'informations de base sur l'ordinateur (matériel, processus, services, connexions réseau), ainsi que la recherche récursive de documents Microsoft Office (y compris TXT et PDF) dans les répertoires « Documents », « Téléchargements » et « Bureau » et leur copie dans le dossier « %PROGRAMDATA%\info\». L'extraction des informations et des fichiers reçus (dans différentes versions du programme) peut être effectuée via des requêtes SFTP ou HTTP POST.