Negli ultimi anni, l’intelligenza artificiale ha rivoluzionato numerosi settori, ma ora sta diventando un potente alleato anche per i cybercriminali. Una recente segnalazione del CERT dell’Ucraina ha portato alla luce un nuovo malware chiamato LAMEHUG, che si distingue per il suo utilizzo evoluto dell’intelligenza artificiale. Questo software maligno, scritto in Python, sfrutta le API di Hugging Face per generare in tempo reale comandi malevoli adattati all’ambiente della vittima.

LAMEHUG viene distribuito tramite archivi zip camuffati da documenti legittimi, spesso inviati da account email compromessi di autorità ufficiali. Una volta che la vittima apre l’archivio e avvia l’eseguibile con estensione .pif, il malware prende il controllo del sistema. L’aspetto più innovativo sta nella capacità di LAMEHUG di utilizzare modelli di intelligenza artificiale, in particolare il modello Qwen 2.5-Coder-32B-Instruct, per interpretare descrizioni testuali e tradurle in comandi operativi da eseguire sul computer infetto.

Dopo aver preso piede sul dispositivo bersaglio, LAMEHUG raccoglie informazioni sensibili come identificativi del sistema, dati di rete e documenti archiviati, in particolare file Microsoft Office e PDF. Tutte queste informazioni vengono poi esfiltrate verso infrastrutture di comando e controllo esterne, rendendo più difficile per gli analisti di sicurezza tracciare e bloccare le attività malevole.

Attribuzione e rischi

Un elemento particolarmente preoccupante riguarda le attribuzioni del malware. Secondo il CERT-UA, LAMEHUG è stato collegato con buona probabilità al famigerato gruppo di hacker russi APT28, noto anche come Fancy Bear, Sofacy o Strontium. Questo gruppo, attivo sin dai primi anni 2000, è responsabile di numerosi attacchi di cyber-espionaggio ai danni di governi europei e degli Stati Uniti. L’introduzione di malware come LAMEHUG segna un ulteriore passo avanti nell’evoluzione delle tecniche di attacco: i criminali possono ora adattare in tempo reale i propri strumenti senza dover scaricare nuovi payload, aumentando l’efficacia e la persistenza delle campagne malevole.

L’integrazione tra AI e malware, come dimostra il caso LAMEHUG, rappresenta una nuova frontiera della cybercriminalità. Grazie alla capacità di generare comandi dinamici e sfruttare servizi cloud come Hugging Face, questi malware diventano più agili, imprevedibili e difficili da neutralizzare. Per le aziende e le istituzioni, diventa quindi fondamentale rafforzare le difese e investire in soluzioni di sicurezza capaci di individuare anche minacce basate su intelligenza artificiale.