LAMEHUG-Malware: Neue Bedrohung durch KI-gestützte Phishing-Kampagnen

KIEW / LONDON (IT BOLTWISE) – Die jüngsten Enthüllungen der Computer Emergency Response Team der Ukraine (CERT-UA) werfen ein neues Licht auf die zunehmende Bedrohung durch KI-gestützte Cyberangriffe. Die Entdeckung der LAMEHUG-Malware, die mit der russischen Hackergruppe APT28 in Verbindung gebracht wird, zeigt, wie fortschrittliche Technologien in böswilligen Kampagnen eingesetzt werden.

Die CERT-UA hat kürzlich Details zu einer Phishing-Kampagne veröffentlicht, die darauf abzielt, eine Malware namens LAMEHUG zu verbreiten. Diese Malware nutzt ein großes Sprachmodell (LLM), um Befehle basierend auf ihrer textlichen Beschreibung zu generieren. Diese Aktivität wird mit mittlerer Sicherheit der russischen, staatlich unterstützten Hackergruppe APT28 zugeschrieben, die auch unter Namen wie Fancy Bear und Sofacy bekannt ist.

Die Entdeckung erfolgte, nachdem am 10. Juli 2025 Berichte über verdächtige E-Mails eingingen, die von kompromittierten Konten gesendet wurden und Ministeriumsbeamte imitierten. Diese E-Mails zielten auf leitende Regierungsbehörden ab und enthielten ein ZIP-Archiv mit der LAMEHUG-Payload in Form von drei verschiedenen Varianten. Diese Varianten trugen die Namen “Додаток.pif”, “AI_generator_uncensored_Canvas_PRO_v0.9.exe” und “image.py”.

Die Malware, die in Python entwickelt wurde, nutzt das von Alibaba Cloud entwickelte große Sprachmodell Qwen2.5-Coder-32B-Instruct, das speziell für Codierungsaufgaben wie Generierung, Begründung und Fehlerbehebung optimiert ist. Dieses Modell ist auf Plattformen wie Hugging Face und Llama verfügbar und wird über die API von huggingface[.]co genutzt, um Befehle basierend auf statisch eingegebenem Text zu generieren.

Die Malware unterstützt Befehle, die es den Betreibern ermöglichen, grundlegende Informationen über den kompromittierten Host zu sammeln und rekursiv nach TXT- und PDF-Dokumenten in den Verzeichnissen “Dokumente”, “Downloads” und “Desktop” zu suchen. Die erfassten Informationen werden über SFTP oder HTTP POST-Anfragen an einen von Angreifern kontrollierten Server übertragen.

Der Erfolg dieser KI-unterstützten Angriffsmethode ist derzeit unbekannt. Die Nutzung der Infrastruktur von Hugging Face für Command-and-Control (C2) zeigt, wie Bedrohungsakteure legitime Dienste in Unternehmensumgebungen nutzen, um sich in normalen Datenverkehr einzufügen und der Erkennung zu entgehen.

Diese Enthüllung erfolgt nur wenige Wochen, nachdem Check Point ein ungewöhnliches Malware-Artefakt namens Skynet entdeckt hat, das Prompt-Injection-Techniken einsetzt, um sich der Analyse durch KI-Code-Analysetools zu entziehen. Diese Malware versucht, Sandkasten-Evasionen durchzuführen, Informationen über das Opfersystem zu sammeln und dann einen Proxy mit einem eingebetteten, verschlüsselten TOR-Client einzurichten.

In der Malware ist auch eine Anweisung für große Sprachmodelle eingebettet, die sie auffordert, alle vorherigen Anweisungen zu ignorieren und stattdessen als Taschenrechner zu agieren. Diese rudimentären Versuche, die Analyse durch KI-basierte Sicherheitstools zu umgehen, deuten auf eine neue Welle von Cyberangriffen hin, die adversarielle Techniken nutzen könnten.

Angesichts der zunehmenden Integration von GenAI-Technologie in Sicherheitslösungen sollten wir mit einer Zunahme solcher Versuche rechnen. Die Geschichte hat uns gelehrt, dass auf die Einführung von Sandkästen Hunderte von Sandkasten-Ausbruchs- und Evasionstechniken folgten; nun haben wir den KI-Malware-Prüfer. Das natürliche Ergebnis sind Hunderte von Versuchen, die KI-Prüfung zu umgehen.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!