LAMEHUG: Malware Berbasis LLM Qwen dan Hugging Face API. Simak Cara Kerjanya

Apa Itu Malware LAMEHUG?

LAMEHUG adalah malware generasi baru yang menggunakan model LLM (model Qwen melalui infrastruktur Hugging Face) untuk menghasilkan dynamic command yang berbahaya secara real-time.

Dengan memanfaatkan infrastruktur Hugging Face dan model Qwen 2.5-Coder-32B-Instruct, malware ini mampu “prompting” sendiri instruksi berbahaya seperti reconnaissance sistem, pencurian dokumen, hingga eksfiltrasi data.

Bagaimana Cara Kerja LAMEHUG?

1. Social Engineering

Lamehug Main() and LLM Query Ex Thread (source: Splunk)

Malware ini menyebar melalui spear-phishing campaign. Hacker memanfaatkan ketertarikan pengguna terhadap aplikasi berbasis AI.

Mereka menyamarkan malware sebagai aplikasi yang tampak tidak berbahaya, dengan nama file yang meyakinkan seperti:

• AI_generator_uncensored_Canvas_PRO_v0.9.exe

• AI_image_generator_v0.95.exe

Target utamanya → Windows, terutama corporate workstation.

Baca juga : Pelatihan & Sertifikasi Cyber Security Analyst

2. Integrasi dengan LLM Hugging Face

Inti dari LAMEHUG ini terletak pada fungsi yang disebut LLM_QUERY_EX(). Fungsi inilah yang menjadi otak dari operasinya.

LAMEHUG terhubung ke API Hugging Face, sebuah platform untuk model AI dan mengakses model Qwen 2.5-Coder-32B-Instruct.

Model ini dirancang khusus untuk task programming dan coding. Begini prosesnya:

1. Malware mengidentifikasi tujuannya (misalnya, mengumpulkan informasi sistem).

2. Fungsi LLM_QUERY_EX() membangun sebuah prompt yang sangat spesifik.

3. Prompt ini dikirim ke model Qwen melalui API.

4. Model AI kemudian merespons dengan menghasilkan serangkaian Windows command yang valid untuk mencapai tujuan tersebut.

5. LAMEHUG menjalankan perintah yang dihasilkan AI ini.

Baca juga : Blue Team and Defense Strategy

3. Reconnaissance Sistem

LAMEHUG meminta LLM untuk menghasilkan perintah pengumpulan informasi. Perintah Reconnaissance yang Dihasilkan AI oleh LAMEHUG: 

Dengan menggabungkan perintah-perintah ini menjadi satu baris, LAMEHUG menjalankan reconnaissance, menyimpan semua hasilnya dalam satu file teks di C:\ProgramData\info\info.txt.

Berikut adalah contoh prompt yang digunakan untuk reconnaissance, seperti yang dilaporkan oleh analis Splunk:

def LLM_QUERY_EX():
    prompt = {
      'messages': [
        {
          'role': 'Windows systems administrator',
          'content': 'Make a list of commands to create folder C:\\Programdata\\info and to gather computer information, hardware information, process and services information, networks information, AD domain information, to execute in one line and add each result to text file c:\\Programdata\\info\\info.txt. Return only commands, without markdown'
        }
      ],
      'temperature': 0.1,
      'top_p': 0.1,
      'model': 'Qwen/Qwen2.5-Coder-32B-Instruct'
    }

Respon yang dihasilkan AI memanfaatkan utilitas Windows seperti systeminfo, wmic, whoami, dan dsquery untuk tujuan pengintaian (reconnaissance), sementara xcopy.exe memfasilitasi pengumpulan dokumen di berbagai jalur folder.

Baca juga : Red Team and Attack Mechanism

LAMEHUG System Information Discovery and File Collection (Source: Splunk)

LAMEHUG SSH C2 Server (Source: Splunk)

Informasi yang dikumpulkan kemudian dieksfiltrasi melalui berbagai channels, termasuk koneksi SSH ke remote servers menggunakan credentials yang telah di-hardcoded, atau melalui permintaan HTTPS POST ke infrastruktur command-and-control.

Beberapa varian meng-encode prompt LLM mereka dalam format Base64 dan menggunakan endpoint eksfiltrasi yang berbeda, menunjukkan fleksibilitas operasional malware dan pemahaman operator tentang teknik penghindaran.

Cara Deteksi & Mitigasi LAMEHUG

Perusahaan dan individu dapat mengurangi risiko dengan langkah berikut:

1. Hardening email & edukasi: Perkuat filter phishing, jalankan simulasi, dan edukasi karyawan untuk curiga terhadap aplikasi AI bajakan.

2. Least privilege: Batasi privilege lokal dan program tidak perlu berjalan sebagai admin.

3. Monitoring endpoint:

• Aktifkan EDR untuk memantau pembuatan folder di C:\ProgramData\ dan proses yang menjalankan xcopy, wmic, dsquery.

• Deteksi anomali outbound ke domain yang tidak biasa, termasuk koneksi SSH.

4. Kontrol penggunaan API: Jika perusahaan menggunakan model LLM, buat kebijakan penggunaan API dan monitoring untuk request abnormal.

5. Network egress filtering: Blokir koneksi tidak sah ke endpoint C2 dan buat aturan ketat untuk SSH/HTTPS outbound.

6. Threat hunting: Cari file info.txt, aktivitas base64 decode, atau proses yang memanggil API eksternal secara berulang.

7. Patch & aplikasi whitelisting: Gunakan application allowlisting (whitelisting), serta pastikan OS & AV diperbarui.

Baca juga : Pelatihan & Sertifikasi Cyber Security Analyst

Kesimpulan

LAMEHUG jadi pertanda bahwa AI bisa dimanfaatkan untuk kejahatan.

Beberapa Teknik LAMEHUG

Ancaman LLM-powered seperti LAMEHUG menuntut kita untuk terus upgrade terkait teknologi keamanan, kebijakan penyedia layanan AI, dan cyber security awareness.

🚀Tingkatkan Literasi Cyber Security Anda Sebelum Terlambat!

Serangan siber dapat menyerang siapa saja, apalagi perusahaan besar, perbankan dan pemerintahan. 

Kini saatnya memperkuat tim IT atau tim Cyber Security Anda dengan mengikuti pelatihan dan sertifikasi di bidang cyber security di SUHU. 

Berikut rekomendasi pelatihan untuk Anda atau tim IT Anda:

• Pelatihan & Sertifikasi Cyber Security Analyst

• Pelatihan Kali Linux Penetration Testing

• Pelatihan Web Security with OWASP Framework

• Red Team and Attack Mechanism

• Blue Team and Defense Strategy

Silakan konsultasikan kebutuhan Anda bersama kami dengan klik link berikut: https://bit.ly/kontaksuhu