Je vous propose une analyse du CERT-UA (équipe nationale ukrainienne de réponse aux incidents informatiques) qui a signalé une nouvelle vague d’attaques sophistiquées visant des organismes gouvernementaux liés à la sécurité et à la défense.
Bien entendu, cette analyse est en TLP:CLEAR.
Selon le bulletin CERT-UA #16039 du 17 juillet 2025, ces attaques sont attribuées au groupe UAC-0001, mieux connu sous l’identifiant APT28 (alias Fancy Bear). Les assaillants y déploient un outil malveillant inédit baptisé LAMEHUG, qui intègre les capacités d’un Large Language Model (LLM) pour automatiser et affiner les opérations de piratage.
Cette campagne se démarque non seulement par son ciblage précis, mais surtout par l’emploi sans précédent de l’Intelligence Artificielle à des fins malveillantes, ouvrant une nouvelle ère dans les cybermenaces d’envergure étatique.
Description de l’attaque
L’incident a débuté le 10 juillet 2025 lorsque la CERT-UA a reçu des informations sur une campagne massive d’envoi de courriels piégés à des agences gouvernementales ukrainiennes. Les attaquants ont utilisé un compte de messagerie compromis pour envoyer des e-mails qui usurpaient l’identité d’un ministère sectoriel légitime.
Ces messages contenaient une pièce jointe alléchante nommée « Dodatok.pdf.zip » (signifiant « Annexe.pdf.zip » en ukrainien). En réalité, l’archive ZIP ne renfermait pas de document PDF mais un fichier exécutable déguisé avec l’extension “.pif”, créé à l’aide de PyInstaller à partir d’un code malveillant en Python. Ce programme a été identifié par la CERT-UA comme étant le malware LAMEHUG.
Le malware LAMEHUG et son fonctionnement innovant
LAMEHUG est un logiciel malveillant écrit en Python, dont la caractéristique majeure est d’intégrer une LLM pour piloter ses actions. Plus précisément, LAMEHUG exploite l’API de la plateforme HuggingFace afin d’utiliser le modèle de langage Qwen 2.5-Coder-32B-Instruct, ce qui lui permet de générer dynamiquement des commandes système à partir de simples descriptions textuelles.
En d’autres termes, la LLM sert de « cerveau » au malware : elle interprète des instructions prédéfinies en langage naturel et les traduit en commandes appropriées pour la machine infectée. Ce procédé confère à LAMEHUG un comportement très adaptable et potentiellement unique sur chaque système ciblé, compliquant d’autant plus sa détection par des signatures statiques traditionnelles.
Une fois exécuté sur un poste victime, LAMEHUG commence par collecter des informations détaillées sur le système infecté. Il recense la configuration matérielle, les processus actifs, les services en cours d’exécution, les interfaces réseau et autres détails de la machine, puis enregistre ces données dans un fichier texte local (%PROGRAMDATA%\info\info.txt).
Dans un second temps, le malware effectue une recherche récursive de documents sensibles sur le disque de la victime. Il explore les répertoires utilisateurs clés – typiquement Documents, Downloads (Téléchargements) et Desktop (Bureau) – à la recherche de fichiers au format Microsoft Office (Word, Excel…), de documents texte (.txt) ou de PDF.
Tous les fichiers trouvés correspondant à ces critères sont copiés dans le dossier %PROGRAMDATA%\info\ en prévision de leur exfiltration ultérieure.
Variantes de LAMEHUG et exfiltration des données
L’analyse de CERT-UA a mis en évidence au moins deux variantes distinctes de LAMEHUG, se différenciant par leur méthode d’exfiltration des données volées. Dans une version, le malware établit une connexion sortante en SFTP (port 22/TCP) afin de transférer les fichiers récoltés vers un serveur contrôlé par les attaquants. Une autre variante envoie les données volées via des requêtes HTTP POST vers une URL prédéfinie, possiblement pour camoufler le trafic malveillant au milieu de communications web légitimes.
Je note un point d’attention, l’infrastructure de commande et contrôle (C2) de ces attaques repose entièrement sur des ressources légitimes compromises. Autrement dit, les serveurs utilisés pour héberger le malware ou recevoir les données exfiltrées sont en réalité des systèmes appartenant à des organisations ou des particuliers tiers, que les assaillants ont préalablement piratés.
Cette tactique complique grandement le suivi et le blocage de l’origine du trafic malveillant, puisque les communications de LAMEHUG semblent transiter par des sites de confiance.
Par exemple, la campagne a tiré parti d’un compte e-mail compromis (boroda70@meta.ua) pour diffuser les messages piégés, tandis que les données volées étaient exfiltrées vers un serveur web compromis (domaine stayathomeclasses.com) hébergeant un script de réception des fichiers. Un serveur tiers à l’adresse IP 144.126.202.227 a également été utilisé (via SFTP sur le port 22) pour la transmission des données.
En sus, l’utilisation d’une adresse IP associée à un service VPN (192.36.27.37, appartenant à LeVPN) a été relevée pour l’envoi initial des courriels malveillants, témoignant des efforts de l’attaquant pour masquer son emplacement réel.
Une attribution à APT28 (UAC-0001)
La CERT-UA associe ces activités au groupe UAC-0001, connu internationalement sous le nom APT28 (alias Fancy Bear), avec un niveau de confiance modéré. APT28 est une entité soutenue par l’État russe, réputée pour ses cyberattaques avancées contre des institutions gouvernementales et des cibles liées à la défense, en particulier en Ukraine.
L’adoption d’une LLM comme composant de malware représente une évolution logique de leurs techniques, leur permettant de déployer des outils encore plus adaptatifs et difficiles à détecter. Cette campagne LAMEHUG illustre ainsi une escalade dans la sophistication des menaces, marquée par l’intégration directe de l’IA dans l’arsenal offensif.
Quelques indicateurs de compromission (IoC)
Voici les principaux indicateurs techniques liés à la campagne LAMEHUG identifiés par CERT-UA :
- Adresses IP malveillantes : – 144.126.202.227 (serveur C2 sous contrôle des attaquants) – 192.36.27.37 (nœud VPN LeVPN utilisé pour l’envoi des e-mails)
- Port/protocole : – 144.126.202.227:22 (canal SFTP pour exfiltration)
- Domaine C2 compromis : – stayathomeclasses.com
- URL d’exfiltration : – https://stayathomeclasses.com/slpw/up.php
- Adresse email d’envoi : – boroda70@meta.ua
- Empreintes MD5 des fichiers malveillants : – 3ca2eaf204611f3314d802c8b794ae2c – 7f7e8d9bbb835f03084d088d5bb722af – 81cd20319c8f0b2ce499f9253ce0a6a8 – abe531e9f1e642c47260fac40dc41f59 – cafe08392d476a057d85de4983bac94e – f72c45b658911ad6f5202de55ba6ed5c
- Empreintes SHA-256 correspondantes :** – 384e8f3d300205546fb8c9b9224011b3b3cb71adc994180ff55e1e6416f65715 – 766c356d6a4b00078a0293460c5967764fcd788da8c1cd1df708695f3a15b777 – 8013b23cb78407675f323d54b6b8dfb2a61fb40fb13309337f5b662dbd812a5d – a30930dfb655aa39c571c163ada65ba4dec30600df3bf548cc48bedd0e841416 – bdb33bbb4ea11884b15f67e5c974136e6294aa87459cdc276ac2eea85b1deaa3 – d6af1c9f5ce407e53ec73c8e7187ed804fb4f80cf8dbd6722fc69e15e135db2e
Enjoy !
La source: https://cert.gov.ua/article/6284730
