Sandworm LLM-et használó kampánya
Az ukrán CERT-UA figyelmeztetése szerint az UAC-0099 (Sandworm, APT44, Seashell Blizzard) csoport új adathalász kampányt indított ukrán állami szervek, katonai szervezetek és kritikus infrastruktúrát üzemeltető vállalatok ellen. A támadók a Signal üzenetküldő alkalmazást használják a kapcsolatfelvételre, majd egy ZIP-fájlt küldenek, amely valós dokumentumnak álcázott futtatható fájlt tartalmaz. A fájl futtatása után települ a LAMEHUG kártevő, amelynek különlegessége, hogy a parancsok futattásához a Qwen 2.5-Coder-32B-Instruct nyelvi modellt használja a Hugging Face Inference API-n keresztül. Ahelyett, hogy a támadók minden funkciót előre beépítettek volna a malware-be, természetes nyelvű utasításokat küldenek az LLM-nek, amely PowerShell-parancsokat generál a rendszerinformációk összegyűjtésére, fájlok felkutatására, adatok kinyerésére és további műveletek végrehajtására.
A CERT-UA szerint ez az első dokumentált eset, amikor egy állami hátterű kiberműveletben egy nagy nyelvi modellt közvetlenül a kártevő működésének részeként alkalmaznak. Az LLM nem önállóan támad, hanem dinamikusan állít elő olyan parancsokat, amelyekkel csökkenthető a malware mérete, egyszerűbbé válik a funkcionalitás bővítése, és nehezebbé válhat a hagyományos szignatúraalapú észlelés. A kampány jól mutatja, hogy a mesterséges intelligencia egyre inkább operatív eszközzé válik a kibertámadásokban, nem a támadókat helyettesíti, hanem rugalmasabbá és gyorsabban módosíthatóvá teszi a kártevők működését.