Investigadores de ciberseguridad han revelado detalles de un presunto malware generado por inteligencia artificial (IA) con nombre en código Slopoly puesto en uso por un actor de amenazas motivado financieramente llamado colmena0163.
«Aunque todavía no es nada espectacular, el malware generado por IA como Slopoly muestra con qué facilidad los actores de amenazas pueden utilizar la IA como arma para desarrollar nuevos marcos de malware en una fracción del tiempo que solía llevar», Golo Mühr, investigador de IBM X-Force dicho en un informe compartido con The Hacker News.
Las operaciones de Hive0163 están impulsadas por la extorsión mediante exfiltración de datos a gran escala y ransomware. El grupo del crimen electrónico es principalmente asociado con una amplia gama de herramientas maliciosas, incluidas NodeSnake, Interlock RAT, JunkFiction Loader y Interlock ransomware.
En un ataque de ransomware observado por la empresa a principios de 2026, se observó que el actor de amenazas implementaba Slopoly durante la fase posterior a la explotación para mantener el acceso persistente al servidor comprometido durante más de una semana.
El descubrimiento de Slopoly se remonta a un script de PowerShell que probablemente esté implementado en la carpeta «C:\ProgramData\Microsoft\Windows\Runtime\» mediante un constructor. La persistencia se logra configurando una tarea programada llamada «Runtime Broker».
Hay indicios de que el malware se desarrolló con la ayuda de un modelo de lenguaje grande (LLM) aún indeterminado. Esto incluye la presencia de comentarios extensos, registros, manejo de errores y variables con nombres precisos. Los comentarios también describen el script como un «Cliente de persistencia C2 polimórfico», lo que indica que es parte de un marco de comando y control (C2).
«Sin embargo, el script no posee técnicas avanzadas y difícilmente puede considerarse polimórfico, ya que no puede modificar su propio código durante la ejecución», señala Mühr. «Sin embargo, el creador puede generar nuevos clientes con diferentes valores de configuración aleatorios y nombres de funciones, lo cual es una práctica estándar entre los creadores de malware».
El script de PowerShell funciona como una puerta trasera completa que puede enviar un mensaje de latido que contiene información del sistema a un servidor C2 cada 30 segundos, sondear un nuevo comando cada 50 segundos, ejecutarlo a través de «cmd.exe» y transmitir los resultados al servidor. Actualmente se desconoce la naturaleza exacta de los comandos ejecutados en la red comprometida.
Se dice que el ataque en sí mismo aprovechó la Hacer clic en arreglar Táctica de ingeniería social para engañar a la víctima para que ejecute un comando de PowerShell, que luego descarga NodeSnake, un conocido malware atribuido a Hive0163. Un componente de primera etapa, NodeSnake, está diseñado para ejecutar comandos de shell, establecer persistencia y recuperar y lanzar un marco de malware más amplio conocido como Interlock RAT.
Hive0163 tiene un historial de empleo de ClickFix y publicidad maliciosa para el acceso inicial. Otro método que utiliza el actor de amenazas para establecer un punto de apoyo es confiar en intermediarios de acceso inicial como TA569 (también conocido como SocGholish) y ETIQUETA-124 (también conocido como KongTuke y LandUpdate808).
El marco tiene múltiples implementaciones en PowerShell, PHP, C/C++, Java y JavaScript para admitir tanto Windows como Linux. Al igual que NodeSnake, también se comunica con un servidor remoto para obtener comandos que le permitan iniciar un túnel proxy SOCKS5, generar un shell inverso en la máquina infectada y entregar más cargas útiles, como Interlock ransomware y Slopoly.
La aparición de Slopoly se suma a una lista cada vez mayor de malware asistido por IA, que también incluye Enlace vacío y AvisoSpydestacando cómo los malos actores están utilizando la tecnología para acelerar el desarrollo de malware y escalar sus operaciones.
«La introducción de malware generado por IA no representa una amenaza nueva o sofisticada desde un punto de vista técnico», dijo IBM X-Force. «Permite desproporcionadamente a los actores de amenazas al reducir el tiempo que un operador necesita para desarrollar y ejecutar un ataque».
Fuente