Ucraïna ha confirmat l’arribada del primer codi maliciós de la història que fa servir grans models de llenguatge (LLM) d’IA per infiltrar-se al Windows 10 i al Windows 11.

L’etapa dels ciberatacs impulsats amb grans models de llenguatge (LLM) d’intel·ligència artificial ha començat. I la guerra cibernètica ha empitjorat.

Segons ha confirmat l’Equip de Resposta a Emergències Informàtiques d’Ucraïna (CERT-UA), un nou codi maliciós conegut com a LameHug és el responsable d’haver robat dades de dispositius amb sistemes operatius Windows 10 i Windows 11.

Creat amb Python, el llenguatge més popular actualment en l’àmbit de la ciberseguretat, aquest programari maliciós fa servir l’API de HuggingFace –una eina que recopila diversos models– i Qwen 2.5-Coder-32B-Instruct, el model de codi obert d’Alibaba.

D’aquesta manera, el programari maliciós genera automàticament les instruccions d’atac i s’estén mitjançant pesca, com s’ha pogut identificar en un correu electrònic on s’adjunta un fitxer ZIP que conté la càrrega maliciosa.

Dins aquest fitxer ZIP, s’han enumerat diversos fitxers –encara que podrien ser-ne més–, sota el nom d’Attachment.pif, AI_generator_uncensored_CANVAS_PRO_v_v.ash0.0.exe i image.py, extensions que fan referència a Python i a un executable.

Després de l’obertura d’aquests fitxers, LameHug executa ordres de forma automàtica per estudiar directoris del sistema de Microsoft, com la carpeta de Documents, Descàrregues i Escriptori, com també fitxers associats a les aplicacions d’Office i a les extensions PDF i TXT.

Així és el primer programari maliciós que fa servir LLM per generar ordres

Segons ha explicat X-Force Exchange, l’equip de respostes a incidents de ciberseguretat d’IBM, aquest codi maliciós és l’únic que fa servir un LLM per executar ordres en diferents sistemes Windows compromesos mitjançant la tècnica de pesca ja descrita.

L’estratègia va fer ús de l’enginyeria social per suplantar la identitat de funcionaris d’un ministeri ucraïnès en aquest correu i, gràcies als fitxers adjunts, LameHug podia reconèixer el sistema, i exfiltrar les dades.

Amb un grau mitjà de confiança, s’ha atribuït aquest nou atac amb intel·ligència artificial al grup de cibercriminals prorussos conegut com a APT28 i suposa una gran amenaça davant de l’avenç imparable de la IA.

Així, de la mateixa manera que passa en un altre tipus d’atacs que poden passar desapercebuts, en aquest cas l’amenaça és molt més gran, atès que les ordres a la consola de Windows s’executen de forma automàtica i dinàmica.

Això implica que les eines d’anàlisi estàtica, com també els diferents programaris de seguretat –com l’antivirus de Windows–, no són capaços de reconèixer l’amenaça fins després de la infecció.

Dit això, cal destacar que LameHug va ser identificat pel CERT-UA el 10 de juliol, encara que va publicar la seva investigació una setmana després, sense concretar si aquest codi maliciós havia estat capaç d’infectar algun equip.

A més, cal esperar que aquests atacs es repeteixin amb l’avenç de la guerra entre Rússia i Ucraïna, perquè l’APT28 –també conegut com a FancyBear, BlueDelta o Forest Blizzard– manté vinculació amb la direcció d’intel·ligència de Rússia.

Sigui com sigui, el primer codi maliciós que fa servir LLM de codi obert ja suposa una escalada a la guerra cibernètica i obre la porta a un escenari desconegut per a agències i oficines de seguretat.