Национальная команда по реагированию на киберинциденты CERT-UA зафиксировала новые угрозы в области безопасности и обороны.

В государственных учреждениях, якобы от имени представителей соответствующего министерства, были разосланы электронные письма с вложением в формате «Приложение.pdf.zip».

Этот ZIP-архив содержал файл с расширением «.pif», созданный с помощью инструмента PyInstaller на Python, который CERT-UA классифицирует как вредоносное ПО LAMEHUG.

Особенностью LAMEHUG является использование больших языковых моделей (LLM) для генерации команд на основе описаний. Попадая на компьютер, программа собирает основную информацию о системе, выполняет рекурсивный поиск документов и копирует их.

С умеренной степенью уверенности данная активность связывается с группировкой UAC-0001 (APT28), находящейся под контролем российских спецслужб.