Національна команда реагування на кіберінциденти CERT-UA отримала інформацію щодо розповсюдження серед органів виконавчої влади начебто від імені представника профільного міністерства електронних листів із вкладенням у вигляді файлу "Додаток.pdf.zip".

Згаданий ZIP-архів містив одноіменний виконуваний файл із розширенням ".pif", сконвертований за допомогою PyInstaller з вихідного коду, розробленого на мові програмування Python. Цей вихідний код класифікований експертами CERT-UA як (шкідливий) програмний засіб LAMEHUG.

Під час дослідження інциденту додатково виявлено щонайменше два варіанти згаданого програмного засобу у вигляді файлів "AI_generator_uncensored_Canvas_PRO_v0.9.exe", "image.py" з функціональними відмінностями в частині способу ексфільтрації даних з ЕОМ.

Слід зауважити, що для розповсюдження електронних листів використано скомпрометований обліковий запис електронної пошти, а інфраструктура управління розгорнута на легітимних, проте скомпрометованих ресурсах.

Очевидною особливістю LAMEHUG є застосування LLM (великої мовної моделі), використаної для генерації команд на основі їх текстового представлення (опису). За деякими ознаками активність кіберзлочинців асоційовано з діяльністю UAC-0001 (APT28).