Investigadores de ciberseguridad han revelado detalles de un presunto malware generado por inteligencia artificial (IA) con nombre en código «Slopoly» utilizado por un atacante con motivación financiera llamado Hive0163.
«Aunque el malware generado por IA como Slopoly todavía está relativamente fuera del radar, muestra con qué facilidad los actores de amenazas pueden convertir la IA en un arma y desarrollar nuevos marcos de malware en una fracción del tiempo que tomaba antes», dijo Golo Mühr, investigador de IBM X-Force, en un informe compartido con The Hacker News.
Las operaciones de Hive0163 están impulsadas por el robo de datos a gran escala y la extorsión con ransomware. Este grupo de delincuentes electrónicos está asociado principalmente con una amplia gama de herramientas maliciosas como NodeSnake, Interlock RAT, JunkFiction Loader y Interlock ransomware.
En un ataque de ransomware que la empresa observó a principios de 2026, se observó que los atacantes implementaban Slopoly en la fase posterior a la explotación para mantener el acceso persistente a un servidor comprometido durante más de una semana.
El descubrimiento de Slopoly probablemente se remonta a un script de PowerShell implementado por el constructor. Este script también estableció la persistencia a través de una tarea programada llamada «Runtime Broker».
El malware parece haber sido desarrollado utilizando un modelo de lenguaje a gran escala (LLM) aún por determinar. Esto incluye comentarios extensos, registros, manejo de errores y la presencia de variables con nombres precisos. Los comentarios también describen este script como un «cliente persistente C2 polimórfico», lo que indica que es parte del marco de comando y control (C2).
«Sin embargo, este script no es sofisticado y no puede modificar su propio código durante la ejecución, por lo que es muy poco probable que sea polimórfico», dijo Muir. «Sin embargo, los creadores de malware pueden generar nuevos clientes con diferentes valores de configuración aleatorios y nombres de funciones. Esta es una práctica estándar para los creadores de malware».
El script de PowerShell actúa como una puerta trasera completa que envía un mensaje de latido que contiene información del sistema al servidor C2 cada 30 segundos, busca nuevos comandos cada 50 segundos, los ejecuta a través de «cmd.exe» y transmite los resultados al servidor. Actualmente se desconoce la naturaleza exacta de los comandos ejecutados en la red comprometida.
El ataque en sí supuestamente utilizó tácticas de ingeniería social ClickFix para engañar a las víctimas para que ejecutaran comandos de PowerShell y descargaran NodeSnake, un conocido malware atribuido a Hive0163. El componente de la primera etapa, NodeSnake, está diseñado para ejecutar comandos de shell, establecer persistencia y recuperar y lanzar un marco de malware más amplio llamado Interlock RAT.
Hive0163 tiene un historial de empleo de ClickFix y publicidad maliciosa para el acceso inicial. Otro método utilizado por los actores de amenazas para establecerse es confiar en corredores de acceso temprano como TA569 (también conocido como SocGholish) y TAG-124 (también conocido como KongTuke y LandUpdate808).
El marco tiene múltiples implementaciones en PowerShell, PHP, C/C++, Java y JavaScript, y es compatible con Windows y Linux. Al igual que NodeSnake, se comunica con un servidor remoto para obtener comandos, lanza un túnel proxy SOCKS5 y genera un shell inverso en la máquina infectada, lo que le permite entregar más cargas útiles como Interlock ransomware y Slopoly.
La aparición de Slopoly se suma a la creciente lista de malware asistido por IA que también incluye VoidLink y PromptSpy, destacando cómo los actores maliciosos están aprovechando esta tecnología para acelerar el desarrollo de malware y escalar sus operaciones.
«La introducción de malware generado por IA no representa una amenaza nueva o avanzada desde una perspectiva técnica», dijo IBM X-Force en un comunicado. «Reduce el tiempo necesario para que los operadores desarrollen y ejecuten ataques, lo que permite a los atacantes atacar desproporcionadamente».
Source link
