Il Computer Emergency Response Team dell'Ucraina, noto come CERT-UA, ha recentemente portato alla luce una sofisticata campagna di phishing finalizzata alla distribuzione di un nuovo malware denominato LAMEHUG. Questa minaccia informatica si distingue per l'uso innovativo dei modelli di linguaggio di grandi dimensioni (LLM), in particolare il modello Qwen2.5-Coder-32B-Instruct sviluppato da Alibaba Cloud, normalmente impiegato per attività di programmazione e automazione.

Attribuzione dell’attacco

L'attacco è stato attribuito con un buon grado di certezza al gruppo russo APT28, conosciuto anche come Fancy Bear, Forest Blizzard, Sednit e UAC-0001. Il gruppo è già noto nell'ambito della cyberwarfare per le sue attività contro enti governativi e organizzazioni sensibili. La scoperta del malware è avvenuta dopo che, il 10 luglio 2025, sono state ricevute segnalazioni di email sospette inviate da account compromessi e mascherate come comunicazioni ufficiali di funzionari ministeriali ucraini. L'obiettivo era colpire i vertici delle amministrazioni governative.

Modalità di attacco e payload

All'interno di queste email, gli allegati in formato ZIP contenevano tre varianti del payload LAMEHUG, tra cui file come Додаток.pif, AI_generator_uncensored_Canvas_PRO_v0.9.exe e image.py. Il malware, scritto in Python, è progettato per sfruttare il modello Qwen2.5-Coder-32B-Instruct attraverso l’API di Hugging Face, generando comandi sulla base di descrizioni testuali statiche e quindi eseguendoli sul computer della vittima.

Funzionalità malevole di LAMEHUG

Le funzioni malevole di LAMEHUG includono:

• Raccolta di informazioni di base sul sistema compromesso;
• Ricerca ricorsiva di file TXT e PDF nelle cartelle più comuni dell'utente, come Documenti, Download e Desktop;
• Esfiltrazione dei dati verso server controllati dagli attaccanti tramite SFTP o richieste HTTP POST, sfruttando servizi legittimi per rendere più difficile il rilevamento da parte dei sistemi di sicurezza aziendali.

Trend e rischi emergenti

L'uso di piattaforme come Hugging Face per il command-and-control rappresenta una tendenza crescente, in cui i cybercriminali sfruttano infrastrutture affidabili e di uso comune per mascherare le loro attività. Questo caso si inserisce in un contesto più ampio di evoluzione delle minacce, in cui l’intelligenza artificiale e i LLM vengono utilizzati non solo per generare codice, ma anche per bypassare le difese e orchestrare attacchi sempre più sofisticati.

Il caso LAMEHUG evidenzia la necessità di una maggiore consapevolezza e di strategie di difesa aggiornate contro malware che sfruttano tecnologie avanzate come i large language model, confermando come la cybersecurity debba evolversi rapidamente al passo con i nuovi strumenti a disposizione degli attaccanti.