Inteligența artificială (AI) – în special modelele de limbaj mari (LLM) – a trecut rapid de la instrumente experimentale la resurse utilizate în masă pentru inovare, comunicare și creșterea productivității. Acestea pot fi folosite pentru amplificarea gândirii umane și pentru rezolvarea unor probleme de o complexitate ridicată. Totuși, aceeași tehnologie care sprijină progresul devine și o armă în arsenalul infractorilor cibernetici.
Un caz recent documentat, cum este cel al malware-ului LameHug, arată că inteligența artificială nu mai este doar un suport pregătitor pentru atacuri, ci o componentă activă a acestora. Malware-ul reprezintă o aplicație malițioasă, care poate lua diferite forme (spyware, adware, cal troian, virus, vierme informatic etc.), creată pentru a afecta un sistem informatic. LameHug folosește un model de AI pentru a genera în timp real comenzile necesare furtului de date, marcând o schimbare radicală în dinamica amenințărilor cibernetice.
Criminalitatea cibernetică, o nouă etapă
Astfel, acest malware demonstrează atingerea unui punct de cotitură în domeniul infracționalității cibernetice. Descoperit de responsabilii în domeniul securității cibernetice din Ucraina (CERT-UA), în vara anului 2025, LameHug este primul malware documentat public care utilizează un model LLM în execuție. Codul malițios, livrat prin spear-phishing (obținerea de date confidențiale de la un anumit utilizator prin transmiterea unor solicitări aparent legitime), stabilește conexiuni cu un model găzduit pe Hugging Face (Qwen 2.5-Coder-32B-Instruct). Aceasta este o platformă dedicată colaborării în domeniul machine learning, care pune la dispoziția utilizatorilor instrumente și resurse pentru realizarea unor modele de inteligență artificială, bazate în special pe procesarea limbajului natural (NLP). De pe această platformă, LameHug primește instrucțiuni detaliate în limbaj natural, acestea fiind ulterior transformate în comenzi Windows adaptate fiecărui sistem compromis.
Particularitatea acestui caz este că inteligența artificială devine copilotul operațional al atacului:
– identifică documente sensibile,
– colectează informații despre rețea și despre Active Directory (serviciu care stochează date despre elementele, utilizatorii, parolele sau resursele dintr-o rețea),
– gestionează metode de exfiltrare (prin intermediul protocoalelor de transfer SFTP sau HTTP),
– ajustează pașii în funcție de context, fără a lăsa semnături statice (elemente de identificare) în cod.
Practic, atacatorii nu mai au nevoie să cunoască detaliile tehnice necesare preluării controlului unui sistem sau furtului de date prin exploatarea vulnerabilităților. Este suficient să formuleze obiective generale („extrage documente financiare”, „afișează detaliile rețelei”), iar AI-ul furnizează pașii concreți, prin instrucțiuni exacte, pregătite pentru a fi executate.
Cybercrime, la îndemâna oricui
Într-un peisaj deja marcat de existența malware as a service (metodă care pune la dispoziția utilizatorilor mai puțin experimentați instrumente malware, contra-cost), LameHug reduce și mai mult nivelul de cunoaștere necesar inițierii unor infracțiuni cibernetice. Astfel, durata dintre compromiterea inițială și atingerea obiectivului se poate reduce considerabil. În plus, atacurile devin mult mai ușor de pus în practică, folosind aceleași resurse pentru a procesa un volum mai mare de date: un singur actor poate orchestra campanii multiple cu efort minim, lăsând sarcina executivă AI-ului, în ceea ce privește generarea și executarea comenzilor pe sistemele compromise.
Pentru specialiști, momentul este comparabil cu răspândirea ransomware-ului în anii 2010, când amenințarea a început să se extindă considerabil transformând orice organizație într-o potențială victimă. În prezent, inteligența artificială are potențialul de a deveni un catalizator care să accelereze acest proces de răspândire a aplicațiilor malițioase, marcând o nouă eră a criminalității digitale, indiferent că vorbim de actori cu o motivație strategică, financiară sau extremistă.
Ca implicații strategice, malware-ul viitorului va îngloba cu ușurință tehnici care să-i confere:
– agilitate operațională – adaptarea comenzilor în timp real face ineficiente metodele de detecție bazate pe semnături statice;
– metode avansate de evitare a detectării (Advanced Evasion Techniques) – traficul API (Interfața de Programare a Aplicațiilor – set de protocoale care permit aplicațiilor să comunice între ele) către platforme AI poate fi disimulat ca trafic legitim, complicând monitorizarea rețelelor;
– capacitatea de a răspunde permanent unui volum tot mai mare de solicitări, fără a afecta performanța (Unlimited Scalability) – AI reduce dependența atacatorilor de „munca manuală”, permițând extinderea masivă a campaniilor;
– posibilitatea de a altera datele pe baza cărora funcționează modelele personalizate de AI (Adversarial Personalization) – fiecare sistem compromis poate primi un set unic de instrucțiuni, crescând șansele de succes și reducând predictibilitatea atacurilor.
Inteligența artificială și amenințările viitorului
În ceea ce privește amenințările viitorului, în următoarea perioadă vom putea observa dezvoltări semnificative pe câteva direcții. Astfel, am putea asista la exploatări personalizate ale victimelor, generate automat: AI poate identifica vulnerabilități locale și construi exploit-uri (metode sau coduri capabile să exploateze vulnerabilitățile programelor sau sistemelor informatice) dedicate pe loc.
De asemenea, este posibilă intensificarea folosirii de ransomware autonom. Proiecte experimentale precum PromptLock (tip de ransomware care folosește inteligența artificială) demonstrează că AI local poate genera și rula scripturi de criptare în mod autonom, fără apel extern la servere de comandă și control. În același timp ar putea fi promovate campanii de dezinformare cu deepfake-uri integrate. Imagini și sunete generate de AI, combinate cu LLM textuale, ar putea produce operațiuni psihologice la scară industrială într-un ritm constant, pentru a susține interese strategice.
Nu în ultimul rând, există posibilitatea apariției unor botnet-uri adaptive, coordonate de AI. Aceste rețele botnet (rețea de dispozitive conectate la internet, care au fost infectate și sunt controlate de la distanță) ar putea ajusta strategiile de atac în funcție de apărarea întâlnită, asemănător unui adversar uman.
Cum răspundem
Pentru a contracara și răspunde la aceste noi categorii de amenințări augmentate de AI, organizațiile trebuie să adopte o abordare proactivă, în cadrul căreia inteligența artificială să completeze instrumentele și măsurile de securitate cibernetică folosite în prezent. Este necesar ca organizațiile să acorde prioritate instruirii personalului pentru ca acesta să recunoască și să răspundă rapid la amenințări precum campaniile de inginerie socială sau dezinformare bazate pe folosirea AI. În același timp, nu trebuie neglijate investițiile în soluții adecvate de detectare a amenințării, inclusiv implementarea unor metode multiple de detecție.
Deosebit de importante rămân metodele de autentificare, prin utilizarea unor factori suplimentari (2FA – autentificare în doi pași) cu un grad ridicat de securitate și monitorizarea continuă a permisiunilor care sunt acordate utilizatorilor rețelei, pentru a limita escaladările automatizate care conduc la amplificarea problemelor din mediul compromis.
AI și automatizările analitice pot contribui la monitorizarea comunicațiilor externe, în special conexiunile către API-uri AI, pentru a identifica anomaliile și abuzurile, care pot conduce la compromiterea sistemelor informatice și obținerea de acces neautorizat la date.
Pentru blocarea traficului suspect și izolarea rapidă a dispozitivelor conectate care au fost compromise, pot fi utilizate instrumentele de detectare a anomaliilor care folosesc algoritmi AI pentru identificarea activităților suspecte în traficul de rețea. Modele de AI generativ, de exemplu, pot avea un impact substanțial în răspunsul la incidente cibernetice, deoarece pot reacționa mai rapid datorită capacității de a prelucra un volum mai mare de date într-un timp mai scurt.
La nivel strategic, din perspectiva amenințărilor augmentate de AI, crește relevanța colaborării între responsabilii din plan național – la nivel interinstituțional -, dar și cu partenerii externi, pentru a facilita schimbul de informații despre tacticile emergente, respectiv pentru a anticipa mutările infractorilor cibernetici sau ale competitorilor strategici. Nu în ultimul rând, responsabilii de asigurarea securității cibernetice trebuie să cunoască permanent schimbările care se produc în domeniul amenințărilor, dar și metodele folosite pentru combaterea lor.
În concluzie, inteligența artificială nu mai este doar un accelerator al inovației, ci și un factor multiplicator al amenințărilor cibernetice. Malware-ul LameHug ilustrează începutul unei astfel de tranziții: de la atacuri bazate pe cunoștințe tehnice complexe, la atacuri orchestrate prin comenzi simple, lăsând AI-ul să găsească drumul spre atingerea obiectivului atacatorilor.
Ignorarea acestui fenomen ar putea accelera trecerea într-o nouă eră a criminalității cibernetice, unde diferența nu o va face expertiza umană, ci viteza și adaptabilitatea inteligenței artificiale integrate în malware.
Abstract
Artificial intelligence (AI) and large language models (LLMs) are no longer just tools for innovation—they are becoming active enablers of cyberattacks. The LameHug malware, documented by CERT-UA, illustrates this shift by using an LLM hosted on Hugging Face to generate real-time Windows commands for reconnaissance, sensitive data theft, and exfiltration. This model allows attackers to focus on objectives rather than technical execution, enabling rapid, scalable, and highly personalized campaigns that evade traditional detection. Looking forward, AI-augmented threats are expected to evolve toward automatically generated exploits, autonomous ransomware, large-scale deepfake disinformation, and adaptive botnets capable of adjusting to defenses in real time. To counter these risks, organizations must adopt proactive measures such as strong authentication, continuous monitoring of AI-related traffic, rapid endpoint isolation, and international intelligence-sharing. AI has thus become both an accelerator of progress and a force multiplier for cyber threats, signaling a potential turning point in the evolution of digital crime.
Autor: Vlad Ionuț Ștefan
