LameHug, un nuovo malware che sfrutta un LLM per eseguire comandi
乌克兰CERT-UA发现新型恶意软件LameHug利用Alibaba Cloud的Qwen 2.5-Coder-32B-Instruct大型语言模型生成命令,在感染系统后收集信息、搜索文件并外传数据。该恶意软件通过伪装成PDF文件传播,并借助HuggingFace API动态生成指令以规避检测。 2025-7-18 13:30:44 Author: www.securityinfo.it(查看原文) 阅读量:7 收藏

Lug 18, 2025 Attacchi, In evidenza, Malware, Minacce, News, RSS

Il CERT-UA, agenzia governativa ucraina di cybersicurezza, ha individuato LameHug, un nuovo malware che sfrutta un LLM per eseguire comandi sui sistemi compromessi. 

Secondo un comunicato ufficiale dell’agenzia, lo scorso 10 luglio CERT-UA ha ricevuto alcune segnalazioni circa un allegato sospetto inviato per email. L’archivio .zip sospetto ha cominciato a circolare tra gli indirizzi e-mail di alcune figure governative. Il file conteneva un eseguibile con lo stesso nome e con estensione .pdf, il quale conteneva il loader di LameHug.

LameHug

La particolarità del malware è che è in grado di sfruttare l’API di HuggingFace per Qwen 2.5-Coder-32B-Instruct, LLM di Alibaba Cloud, per generare comandi da eseguire sul sistema compromesso. CERT-UA riporta che il malware, tramite i comandi eseguiti, si occupa di raccogliere informazioni di base sul sistema dove è in esecuzione (come processi attivi, informazioni sull’hardware e sulle connessioni di rete), effettuare la ricerca ricorsiva di documenti Microsoft Office nelle cartelle “Desktop”, “Documenti” e “Download” ed esfiltrare i dati raccolti tramite richieste SFTP o HTTP POST.

BleepingComputer evidenzia che LameHug è il primo malware noto che sfrutta un LLM per operare. Il funzionamento di LameHug potrebbe dare origine a un nuovo paradigma d’attacco dove un’IA legittima viene usata dagli attaccanti per adattarsi al contesto, senza appesantire il payload del malware.

Il fatto di usare comandi generati dinamicamente contribuisce anche a complicare l’analisi, in quanto gli attuali strumenti automatici analizzano i payload per individuare comandi hardcoded potenzialmente malevoli. Inoltre, sottolinea la testata, l’uso delle API di HuggingFace consente agli attaccanti di eludere i controlli sulle comunicazioni.

Al momento non ci sono informazioni sulla possibile identità degli attaccanti dietro LameHug. CERT-UA non ha inoltre rilasciato informazioni sull’effettivo impatto degli attacchi, né sulle misure adottate per contrastarlo.

Altro in questa categoria

文章来源: https://www.securityinfo.it/2025/07/18/lamehug-un-nuovo-malware-che-sfrutta-un-llm-per-eseguire-comandi/
如有侵权请联系:admin#unsafe.sh