El Centro de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) ha descubierto un nuevo tipo de infostealer bautizado como LameHug, atribuido al grupo ruso APT28 (Fancy Bear), que marca un antes y un después en el panorama de las ciberamenazas. Por primera vez, se ha documentado públicamente un caso en el que un malware integra de forma operativa un modelo de lenguaje (LLM) para asistir a los atacantes en tiempo real, según los expertos en inteligencia de amenazas. La investigación ha sido recogida y analizada en detalle por Picus Security en su blog especializado.
LameHug marca un antes y un después en el panorama de las ciberamenazas
Detectado a mediados de 2025 en una campaña contra organismos gubernamentales ucranianos, LameHug se distribuye a través de correos de phishing enviados desde una cuenta oficial comprometida, un método habitual en APT28. Explican los expertos que el mensaje contiene un archivo ZIP con un ejecutable camuflado como PDF que, al abrirse, ejecuta código Python en memoria para robar información y extraer documentos de forma rápida, sin dejar persistencia en el sistema. Según analistas de ciberseguridad, este enfoque de “golpear y salir” es típico de operaciones de espionaje digital, donde la rapidez es clave para evitar la detección.
Capacidad para generar instrucciones dinámicas
La gran novedad es su integración con el modelo Qwen 2.5-Coder-32B-Instruct de Alibaba Cloud, accesible mediante la API de Hugging Face, lo que permite a los operadores generar comandos maliciosos adaptados al entorno de la víctima sobre la marcha, evitando las firmas estáticas y camuflando el tráfico de mando y control como peticiones legítimas a servicios de IA, aseguran en el blog. De acuerdo con especialistas, esta capacidad de generar instrucciones dinámicas eleva la dificultad para los sistemas de detección tradicionales y podría convertirse en un patrón emergente en futuras amenazas.
Entre sus capacidades, destaca la recopilación detallada de información del sistema, red y Active Directory, así como la búsqueda y extracción de documentos en carpetas del usuario mediante SFTP o HTTP POST. Variantes posteriores han llegado incluso a hacerse pasar por generadores de imágenes por IA, solicitando contenido legítimo —incluyendo material para adultos— mientras robaban información en segundo plano. Según los expertos, esta combinación de ingeniería social, automatización y evasión avanzada es especialmente preocupante porque mezcla técnicas clásicas con las posibilidades de la IA generativa.
MITRE ATT&CK
Este caso ya está siendo analizado en el marco de MITRE ATT&CK, que cubre técnicas como el uso de servicios de terceros para el mando y control (T1102) o la explotación de utilidades nativas del sistema para el reconocimiento. No obstante, varios analistas advierten que la ejecución asistida por IA podría requerir la creación de nuevas sub-técnicas para reflejar el carácter adaptativo y dinámico de este tipo de ataques.
El impacto para las empresas podría ser significativo. Según los expertos, la integración de LLM en malware supone que los atacantes podrán ajustar sus operaciones en tiempo real, adaptándose a defensas cambiantes sin necesidad de distribuir nuevas versiones del código. Esto obliga a los defensores a adoptar un enfoque más proactivo, incluyendo la monitorización de conexiones a APIs de IA desde los endpoints corporativos, el endurecimiento de credenciales y la validación continua de la postura de seguridad. Tal y como apuntan los especialistas consultados por Picus Security, la llegada de “malware adaptativo” podría redefinir la forma en la que se diseñan y despliegan las defensas en los próximos años.
