Ya hay malware que infecta generando comandos mediante IA. Los antivirus tradicionales no están preparados para esto

El auge de la IA está permitiendo 'pegarle un empujón' a muchas de las tareas que ya realizábamos ayer con ordenadores... incluyendo las maliciosas: desde la ejecución de timos al incremento de malware, ambas son actividades que ahora se llevab a agarradera con decano precisión gracias al uso de los 'modelos de idioma'.

Uno de los ejemplos más alarmantes de esta tendencia es LameHug, el primer malware documentado que emplea grandes modelos de idioma  (LLM, por sus siglas en inglés) para aceptar a agarradera ciberataques de modo autónoma y en extremo adaptativa.

Esto marca un punto de inflexión en la cambio del malware, abriendo la puerta a una nueva vivientes de amenazas que resultarán difíciles de detectar y contener.

¿Qué es LameHug y por qué debe preocuparnos?

LameHug es un software taimado desarrollado en Python que utiliza la API de la plataforma Hugging Face y el maniquí de IA de código extenso Qwen2.5-Coder-32B-Instruct de Alibaba. Fue identificado por primera vez el 10 de julio de 2025 por el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) y se ha atribuido con un nivel medio de confianza al congregación de cibercriminales pro-rusos APT28 (además conocido como Fancy Bear, Sednit, Forest Blizzard, entre otros).

Lo que distingue a LameHug de otras amenazas es su capacidad de crear en tiempo verdadero comandos maliciosos a partir de idioma natural, adaptándose al sistema comprometido sin pobreza de tener instrucciones codificadas de antemano. Esto cambia de hacia lo alto a debajo la forma en que se diseñan y ejecutan los ciberataques.

Modus operandi I: el vector de ataque

El método de distribución de LameHug sigue un patrón conocido: el malware se infiltra a través de correos electrónicos de phishing cuidadosamente diseñados. En uno de los casos documentados, se empleó una cuenta legítima comprometida de un funcionario ucraniano para expedir un archivo ZIP titulado "Додаток.pdf.zip" ("Attachment.pdf.zip").

En el interior del archivo comprimido se encontraron ejecutables con nombres como:

• Attachment.pif
• AI_generator_uncensored_CANVAS_PRO_v0.9.exe
• image.py

Estas extensiones se corresponden con ejecutables y scripts en Python, todos ellos diseñados para suceder desapercibidos en presencia de software antivirus convencional.

Modus operandi II: Cómo actúa LameHug en el sistema infectado

Una vez extenso el archivo infectado, LameHug ejecuta una serie de comandos generados automáticamente mediante el LLM, los cuales permiten:

• Convenir el entorno del sistema (hardware, red, procesos activos).
• Examinar directorios secreto como Documentos, Descargas y Escritorio.
• Extraer archivos de interés, especialmente aquellos vinculados a Office, PDF y TXT.
• Despachar los datos recopilados a servidores de los atacantes.

Esta vivientes dinámica de comandos es precisamente lo que dificulta su detección. Las herramientas tradicionales de exploración suspenso o heurístico no pueden anticipar qué acciones tomará el malware, ya que estas no están preprogramadas, sino que se adaptan al contexto en tiempo verdadero.

¿Quién está detrás (supuestamente)?

El congregación APT28, asociado históricamente con los servicios de inteligencia rusos, ha sido señalado como el supuesto responsable de LameHug. Este colectivo tiene un historial extenso de ataques cibernéticos, especialmente dirigidos a objetivos ucranianos y organizaciones occidentales que han mostrado apoyo a Ucrania en el contexto de la erradicación.

En teoría, APT28 no solo posee la capacidad técnica para desarrollar herramientas como LameHug, sino además la motivación geopolítica para desplegarlas en escenarios de conflicto híbrido, como el que actualmente vive Europa del Este.

¿Cómo afecta esto a la ciberseguridad entero?

LameHug representa un punto de inflexión preocupante por varias razones:

1. Automatización inteligente: La integración de LLMs permite que el malware se adapte y ejecute comandos sin intervención humana directa.
2. Diversión de defensas tradicionales: Las soluciones antivirus actuales no están diseñadas para detectar amenazas que no tengan un patrón fijo.
3. Escalabilidad: Al ser de código extenso y modular, otros actores podrían replicar o modificar LameHug con facilidad.
4. Potencial masivo: Aunque hasta ahora se ha dirigido principalmente a entidades gubernamentales, la técnica podría aplicarse a ataques generalizados a usuarios y empresas.

Vía | BleepingComputer

Imagen | Marcos Merino mediante IA

En Genbeta | Cualquiera puede ser 'el nuevo Alcasec': por menos de 200 euros, esta IA 100% creada por ciberdelincuentes hackeará por ti