Los investigadores de ciberseguridad han revelado detalles de un presunto malware generado por inteligencia artificial (IA) con nombre en código Slopoly utilizado por un actor de amenazas con motivaciones financieras llamado Colmena 0163 .
«Aunque sigue siendo relativamente poco espectacular, el malware generado por IA, como Slopoly, demuestra con qué facilidad los actores de amenazas pueden convertir la IA en un arma para desarrollar nuevos marcos de malware en una fracción del tiempo que antes tardaba», dijo Golo Mühr, investigador de IBM X-Force dijo en un informe compartido con The Hacker News.
Las operaciones de Hive0163 están impulsadas por la extorsión mediante la exfiltración de datos a gran escala y el ransomware. El grupo de delincuencia electrónica es principalmente asociado con una amplia gama de herramientas maliciosas, como NodeSnake, Interlock RAT, JunkFiction loader e Interlock ransomware.
En un ataque de ransomware observado por la empresa a principios de 2026, se observó al actor de la amenaza desplegando Slopoly durante la fase posterior a la explotación para mantener un acceso persistente al servidor comprometido durante más de una semana.
adsenseEl descubrimiento de Slopoly se remonta a un script de PowerShell que probablemente se implementó mediante un generador, que también estableció la persistencia mediante una tarea programada llamada «Runtime Broker».
Hay indicios de que el malware se desarrolló con la ayuda de un modelo de lenguaje grande (LLM) aún indeterminado. Esto incluye la presencia de comentarios extensos, registros, gestión de errores y variables con nombres precisos. Los comentarios también describen el script como un «cliente polimórfico de persistencia C2», lo que indica que forma parte de un marco de comando y control (C2).
«Sin embargo, el script no posee ninguna técnica avanzada y difícilmente puede considerarse polimórfico, ya que no puede modificar su propio código durante la ejecución», señala Mühr. «Sin embargo, el creador puede generar nuevos clientes con diferentes valores de configuración y nombres de funciones aleatorios, lo cual es una práctica habitual entre los creadores de malware».
El script de PowerShell funciona como una puerta trasera completa que puede enviar un mensaje de latido con información del sistema a un servidor C2 cada 30 segundos, buscar un comando nuevo cada 50 segundos, ejecutarlo mediante "cmd.exe» y transmitir los resultados al servidor. Actualmente se desconoce la naturaleza exacta de los comandos que se ejecutan en la red comprometida.
Se dice que el ataque en sí mismo aprovechó la Haga clic en Fijar táctica de ingeniería social para engañar a una víctima para que ejecute un comando de PowerShell, que luego descarga NodeSnake, un malware conocido atribuido a Hive0163. Un componente de primera fase, NodeSnake, está diseñado para ejecutar comandos de shell, establecer la persistencia y recuperar y lanzar un marco de malware más amplio denominado Interlock RAT.
Hive0163 tiene un historial de uso de ClickFix y publicidad maliciosa para el acceso inicial. Otro método que utiliza el actor de amenazas para afianzarse es confiar en intermediarios de acceso inicial, como TA569 (también conocido como SocGholish) y ETIQUETA-124 (también conocido como KongTuke y LandUpdate808).
El marco tiene varias implementaciones en PowerShell, PHP, C/C++, Java y JavaScript para ser compatible con Windows y Linux. Al igual que NodeSnake, también se comunica con un servidor remoto para obtener comandos que le permiten lanzar un túnel de proxy SOCKS5, generar una consola inversa en la máquina infectada y entregar más cargas útiles, como el ransomware Interlock y Slopoly.
enlacesLa aparición de Slopoly se suma a la creciente lista de malware asistido por IA, que también incluye Vínculo nulo y PromptSpy , destacando cómo los actores malintencionados utilizan la tecnología para acelerar el desarrollo del malware y ampliar sus operaciones.
«La introducción del malware generado por IA no representa una amenaza nueva o sofisticada desde un punto de vista técnico», afirma IBM X-Force. «Da una ventaja desproporcionada a los actores de amenazas, ya que reduce el tiempo que un operador necesita para desarrollar y ejecutar un ataque».
Fuentes de Información: THEHACKERNEWS