Yeni LameHug zararlısı, Windows sistemlerde veri hırsızlığı için yapay zekâ destekli komutlar üretiyor
Ukrayna'nın siber olay müdahale ekibi CERT-UA tarafından tespit edilen LameHug adlı zararlı yazılım, yapay zekâ modeli Qwen 2.5-Coder aracılığıyla gerçek zamanlı olarak komut üreterek Windows sistemlerde veri topluyor. Zararlı yazılımın Rusya bağlantılı APT28 grubu tarafından kullanıldığı belirtiliyor.
Ukrayna Ulusal Siber Olay Müdahale Ekibi (CERT-UA), yapay zekâ destekli komutlar kullanarak Windows sistemlerinde veri hırsızlığı gerçekleştiren yeni bir zararlı yazılım ailesi olan LameHug’u keşfetti. Python ile yazılan zararlı yazılım, Alibaba Cloud tarafından geliştirilen Qwen 2.5-Coder-32B-Instruct adlı açık kaynaklı büyük dil modeli (LLM) ile entegre çalışıyor.
CERT-UA, 10 Temmuz 2025 tarihinde hükümet kurumlarına gönderilen sahte e-postalar üzerinden yürütülen saldırılar hakkında aldığı ihbarlar sonrasında LameHug’u tespit etti. Saldırılarda, Ukrayna hükümet yetkilileri gibi davranan saldırganlar, hedeflere zararlı yazılım içeren ZIP dosyaları gönderdi. Bu eklentiler arasında “Attachment.pif”, “AI_generator_uncensored_Canvas_PRO_v0.9.exe” ve “image.py” isimli yükleyiciler yer aldı.
Komutlar yapay zekâ tarafından oluşturuluyor
LameHug’un en dikkat çekici özelliği, sabit kodlu komutlar yerine, Hugging Face platformu aracılığıyla LLM modeli kullanarak dinamik olarak sistem keşif ve veri toplama komutları üretmesi. Yapay zekâya gönderilen doğal dil girdileri sonucunda elde edilen komutlar, hedef sistemde çalıştırılarak:
-
Sistem bilgileri
info.txtadlı bir dosyada toplanıyor, -
Kullanıcının “Documents”, “Desktop” ve “Downloads” klasörlerinde belge araması yapılıyor,
-
Elde edilen veriler SFTP veya HTTP POST yoluyla dış sunuculara iletiliyor.
Bu yöntem, zararlı yazılımın yeni komutlar veya güncellemeler almadan saldırı senaryolarını olay anında değiştirebilmesini sağlıyor. Aynı zamanda sabit komutları arayan antivirüs çözümlerini atlatmayı da kolaylaştırıyor.
Saldırılar APT28 grubuna atfedildi
CERT-UA, bu faaliyetleri Rusya devlet destekli APT28 grubu ile orta düzeyde güvenilirlikle ilişkilendiriyor. APT28, daha önce Sednit, Fancy Bear, STRONTIUM ve Pawn Storm gibi isimlerle de bilinen köklü bir tehdit aktörü olarak tanınıyor.
Yeni bir siber saldırı paradigması olabilir
LameHug, kamuya açık olarak belgelenmiş ilk LLM destekli zararlı yazılım olma özelliğini taşıyor. Uzmanlara göre bu tür saldırılar, tehdit aktörlerinin daha esnek, dinamik ve tespit edilmesi zor siber operasyonlar yürütmesine imkân tanıyor. Ayrıca Hugging Face gibi meşru altyapılar kullanılarak komut ve kontrol iletişimi daha gizli hale getiriliyor.
CERT-UA, yapay zekâ modeli tarafından oluşturulan komutların sistemde başarıyla çalıştırılıp çalıştırılamadığına dair net bir bilgi paylaşmadı.
Kaynak: CUMHA - CUMHUR HABER AJANSI
