Las autoridades ucranianas han identificado un nuevo malware que aprovecha un modelo de lenguaje grande con IA e IA identificados para generar comandos para la ejecución de los sistemas de Windows comprometidos. El equipo nacional de respuesta a emergencias informáticas de Ucrania (CERT-UA) identificó el malware, llamado Lamehug, en nuevos ataques cibernéticos dirigidos al sector de seguridad y defensa de la nación. Los ataques han sido vinculados, con confianza moderada, con el grupo de piratería ATP28 que se sabe que está controlado por los servicios especiales rusos. En una actualización publicada el 17 de julio, CERT-UA dijo que los correos electrónicos que contenían un archivo adjunto llamado «дópicionalmente se difundieron entre los organismos ejecutivos, supuestamente enviados de un representante de un ministerio relevante. Este archivo zip contenía un archivo con nombre similar con una extensión .pif. Este archivo, convertido utilizando la herramienta Pyinstaller con sede en Python, ha sido clasificado por CERT-UA como el software malicioso LameHug. Lamehug Malware Aproveche el código abierto LLM El malware se desarrolla en Python y se basa en la API de la cara abrazada para interactuar con el LLM de instrucciones QWEN2.5-32B-32B de Alibaba. Un IBM X-Force OSINT Advisory señaló que el uso de LLM para generar los comandos de ejecución es único. «Este enfoque innovador permite a los actores de amenaza adaptar sus tácticas durante un compromiso sin necesidad de nuevas cargas útiles, lo que potencialmente hace que el malware sea más difícil de detectar mediante software de seguridad o herramientas de análisis estático», dijo el Advisory de X-Force OSINT. Los especialistas en CERT-UA dijeron que se utilizó una cuenta de correo electrónico comprometida para difundir correos electrónicos que contienen el software malicioso. Una larga data cibernética para Ucrania Apt28 es un grupo vinculado con la Agencia de Inteligencia Militar Rusia (GRU) y también se conoce como Fancy Bear, Sednit, Pawn Storm, Forest Blizzard y Sofacy Group. Ha estado activo desde al menos 2004. Durante mucho tiempo ha estado apuntando a Ucrania con ataques cibernéticos. En 2023, CERT-US dijo que el grupo de actores de amenazas intentó un ataque cibernético contra una instalación de infraestructura de energía crítica ucraniana. Lea más sobre la actividad de APT28 contra Ucrania: APT28 respaldado por Rusia intentó atacar un centro de energía crítica ucraniana en 2025, la investigación identificó que APT28 había aprovechado con éxito una vulnerabilidad de día cero en el servidor de correo electrónico de Mdaemon (CVE-2024-11182) contra las compañías ucranianas. También se sabe que el grupo apunta a organizaciones que apoyan a Ucrania en su esfuerzo de guerra contra la Federación de Rusia. En mayo, se informó que las empresas de logística occidental y tecnología que brindan ayuda a Ucrania habían sido atacadas por una campaña APT28 Cyber-Expionage en los últimos dos años.