LAMEHUG：基于LLM的动态侦察与数据窃取恶意软件

一种新型AI驱动威胁利用Hugging Face上的LLM实时执行自适应侦察和数据窃取。与依赖静态脚本或预写载荷不同，LAMEHUG通过Hugging Face API动态查询Qwen 2.5-Coder-32B-Instruct模型，生成针对当前环境定制的Windows命令提示符指令。

技术架构

传播机制

LAMEHUG通过鱼叉式网络钓鱼邮件传播，携带伪装成AI图像生成工具的恶意可执行文件。常见文件名包括：

• AI_generator_uncensored_Canvas_PRO_v0.9.exe
• AI_image_generator_v0.95.exe

执行流程

当执行时，这些加载器显示无害的用户图像请求提示界面，同时立即生成隐藏线程调用LLM_QUERY_EX()函数，该函数协调核心恶意活动。

某些变体会解码并释放诱饵PDF文件，进一步诱使用户打开载荷。启动LLM线程后，xlsx_open()函数解码代表虚拟PDF的大型Base64字符串，将其写入C:\ProgramData，并通过cmd.exe执行。释放的PDF通常伪装成政府或公司文件以增加可信度。

LLM驱动的侦察能力

LAMEHUG的创新核心在于其LLM_QUERY_EX()例程。该模块构建如"枚举系统硬件详细信息"等提示，然后将其发送到router.huggingface.co的Qwen 2.5-Coder-32B-Instruct模型。

模型返回定制的Windows命令序列——例如调用systeminfo、wmic cpu、wmic diskdrive和dsquery——恶意软件立即在提升的权限下运行这些命令以收集系统和网络数据。

通过拦截模型的响应，Splunk威胁研究团队(STRT)的分析师重建了几个自动化的提示-响应周期，揭示了用于以下目的的精确指令：

系统信息发现(T1082)：通过systeminfo和wmic收集操作系统、硬件和环境详细信息。

自动化文件收集(T1119)：使用xcopy.exe从用户目录递归复制敏感文档（如.docx、.pdf）到C:\ProgramData\info。

这种自适应方法使LAMEHUG能够根据目标主机的实时反馈调整其侦察和收集逻辑，有效学习哪些命令成功并相应调整后续提示。

数据外泄机制

数据在本地整合后，LAMEHUG通过SSH或HTTP通道外泄数据。一个变体使用到C2服务器的SSH会话，使用嵌入的凭据进行身份验证并传输info.txt和收集的文件。另一个变体对LLM提示消息和收集的数据进行Base64编码，然后通过HTTPS将其发布到stayathomeclasses[.]com/slpw/up[.]php的PHP端点。

检测策略

鉴于其对标准Windows实用程序的依赖，LAMEHUG的行为可能与合法的管理活动混合。然而，几个分析规则有助于标记异常：

WMI侦察检测：监控WMIC命令对CPU、diskdrive、memorychip、nic和computersystem的查询，可以揭示与T1082活动一致的可疑枚举。

网络服务枚举：检测用于列出服务的net start使用可能表明攻击者对安全相关进程的兴趣。

通过复制实用程序进行文件收集：针对用户文档扩展名的递归xcopy.exe命令警报可以捕获自动数据收集。

AI平台DNS查询：观察从常见主机进程（python.exe、powershell.exe）到router.huggingface.co的DNS请求可以发现未经授权的LLM交互。

技术影响

LAMEHUG将恶意软件与LLM融合代表了一个范式转变：实时学习和适应的攻击，动态构建命令来探测和利用受感染系统。防御者必须增强对看似合法的实用程序使用的遥测，监控异常的AI服务网络活动，并采用基于行为的检测来应对这些新兴威胁。

通过将警惕的异常检测与针对LAMEHUG战术定制的网络和端点监控相结合，SOC团队可以在重大损害发生之前破坏其侦察和数据窃取操作。

威胁指标(IOC)