Українські кіберфахівці викрили намагання росіян використати LLM-модель для атак на держустанови

Команда реагування на комп’ютерні надзвичайні ситуації України (CERT-UA) розкрила деталі фішингової кампанії, спрямованої на поширення шкідливого програмного забезпечення під кодовою назвою LAMEHUG.

Хакерську активність приписують групі APT28, яка підтримується російськими державними структурами. Вона також відома як Fancy Bear, Forest Blizzard, Sednit, Sofacy та UAC-0001.

«Очевидною особливістю LAMEHUG є використання LLM-моделі, яка використовується для генерації команд на основі їх текстового опису», — йдеться у повідомленні CERT-UA.

За даними CERT-UA, шкідливе програмне забезпечення виявлено після отримання 10 липня 2025 року повідомлень про розповсюдження серед органів виконавчої влади, начебто від імені представника профільного міністерства, електронних листів, в яких був присутній ZIP-архів. Він, у свою чергу, містив корисне навантаження LAMEHUG у вигляді трьох різних варіантів під назвами Додаток.pif, AI_generator_uncensored_Canvas_PRO_v0.9.exe та image.py.

Розроблений на Python, LAMEHUG використовує LLM-модель Qwen2.5-Coder-32B-Instruct, розроблену Alibaba Cloud, яка спеціально налаштована для завдань кодування, таких як генерація, міркування та виправлення. Модель доступна на платформах Hugging Face та Llama.

LAMEHUG підтримує команди, які дозволяють збирати інформацію про скомпрометований хост та шукати документи TXT та PDF у каталогах «Документи», «Завантаження» та «Робочий стіл».

Захоплена інформація передається на контрольований зловмисником сервер за допомогою запитів SFTP або HTTP POST. Наразі невідомо, наскільки успішним був підхід до атаки з використанням LLM.