Un grup de ciberatacants vinculats als serveis d’intel·ligència russos, conegut com APT28 (Fancy Bear), ha atacat recentment el sector de la seguretat i defensa d’Ucraïna amb un nou tipus de programari maliciós anomenat **LameHug**. Aquest malware destaca perquè integra un **model de llenguatge gran (LLM)**, una forma d’intel·ligència artificial capaç de generar comandes a partir d’instruccions en llenguatge natural, cosa que permet automatitzar tasques sofisticades de manera flexible i eficaç.

El ciberatac va començar amb **correus electrònics de phishing** enviats des de comptes suplantats d’oficials governamentals ucraïnesos. Aquests correus duien un arxiu ZIP amb un executable fet amb Python (mitjançant PyInstaller), detectat com a LameHug. En executar-se, el malware utilitza el model d’IA **Qwen2.5-Coder-32B-Instruct** per transformar instruccions escrites en accions concretes dins de l’ordinador infectat.

Les principals funcionalitats de LameHug són:
- **Recollir informació** del sistema (maquinari, processos, serveis, connexions de xarxa).
- **Buscar i preparar documents** de les carpetes Documents, Escriptori i Descàrregues per a l’exfiltració.
- **Enviar les dades robades** a servidors controlats pels atacants mitjançant SFTP o HTTP POST.

S’han identificat diverses variants del malware, cadascuna amb lleugeres diferències en la manera d’exfiltrar la informació. LameHug representa el primer cas documentat d’un atac estatal on es fa servir un model d’IA LLM per executar ciberatacs en temps real, i ja existeix tecnologia similar disponible al mercat negre per uns 250 dòlars al mes.