LameHug: El Nuevo Malware que usa IA para Robar Datos en Windows

Una nueva amenaza llamada LameHug ha entrado en escena, y no es cualquier malware. Esta familia maliciosa aprovecha la potencia de un modelo de lenguaje de inteligencia artificial (LLM) para generar comandos diseñados específicamente para sistemas Windows comprometidos.

El hallazgo fue realizado por CERT-UA, el equipo nacional de respuesta ante incidentes cibernéticos de Ucrania. Según su investigación, el ataque ha sido atribuido al grupo APT28, un actor de amenazas conocido y vinculado al gobierno ruso. Este grupo también es identificado con otros nombres como Fancy Bear, Sednit, Sofacy o STRONTIUM, entre varios alias utilizados en distintos informes.

¿Cómo funciona el malware LameHug?

Lo interesante (y preocupante) es cómo funciona LameHug. Está desarrollado en Python y utiliza la API de Hugging Face para comunicarse con un modelo LLM específico: Qwen 2.5-Coder-32B-Instruct. Este modelo, creado por Alibaba Cloud, es de código abierto y está diseñado para tareas avanzadas como generación de código, razonamiento lógico y ejecución de comandos a partir de texto en lenguaje natural.

En otras palabras, el malware puede enviarle una descripción del entorno del sistema infectado al LLM y recibir como respuesta comandos listos para ejecutarse. Esto le permite adaptarse en tiempo real a cada máquina, haciendo el ataque mucho más preciso y difícil de detectar.

CERT-UA descubrió esta amenaza tras recibir alertas el 10 de julio, cuando varias entidades reportaron correos maliciosos enviados desde cuentas comprometidas. Los mensajes se hacían pasar por comunicaciones oficiales de ministerios ucranianos e intentaban distribuir el malware a agencias gubernamentales clave.

LameHug es un ejemplo claro de cómo los atacantes están utilizando tecnologías emergentes como la IA generativa para llevar el cibercrimen a un nuevo nivel.

Correo electrónico malicioso que intenta infectar LameHug (Fuente: CERT-UA)

Los atacantes detrás de LameHug usan correos electrónicos maliciosos con archivos adjuntos en formato ZIP que, una vez abiertos, contienen el cargador del malware. Según el informe de CERT-UA, se han identificado al menos tres variantes con nombres como:

1. Attachment.pif

2. AI_generator_uncensored_Canvas_PRO_v0.9.exe

3. image.py

    

Aunque la investigación aún está en curso, la agencia ucraniana atribuye esta campaña (con un nivel medio de certeza) al grupo APT28, un colectivo de ciberespionaje respaldado por el gobierno ruso y conocido por múltiples alias como Fancy Bear o Sofacy.

Una vez en el sistema, LameHug no actúa solo ni sigue un guion fijo. En cambio, se apoya en un modelo de lenguaje de IA (LLM) para generar comandos personalizados en tiempo real. Estos comandos son usados para tareas como:

1. Hacer un reconocimiento del sistema infectado

2. Recolectar información detallada y guardarla en un archivo (info.txt)

3. Buscar documentos dentro de carpetas clave como Documentos, Escritorio y Descargas

4. Exfiltrar los datos robados a través de conexiones SFTP o solicitudes HTTP POST

Esta capacidad de adaptarse dinámicamente al entorno de cada víctima, gracias a la IA, convierte a LameHug en una amenaza mucho más flexible y peligrosa que otros tipos de malware tradicionales.

Mensajes enviados al LLM para la generación de comandos

Conoce más sobre: Hackers usan Microsoft Teams para Difundir Malware Matanbuchus 3.0