Investigadores de ciberseguridad han revelado detalles de un malware sospechoso de ser generado por inteligencia artificial, denominado Slopoly, utilizado por el actor de amenazas con motivación financiera Hive0163.
"Aunque todavía relativamente poco espectacular, el malware generado por IA como Slopoly muestra con qué facilidad los actores de amenazas pueden utilizar la IA para desarrollar nuevos marcos de malware en una fracción del tiempo que solía llevar", dijo Golo Mühr, investigador de IBM X-Force, en un informe compartido con The Hacker News.
Las operaciones de Hive0163 están impulsadas por la extorsión a través de la exfiltración de datos a gran escala y ransomware. El grupo de ciberdelincuencia se asocia principalmente con una amplia gama de herramientas maliciosas, incluyendo NodeSnake, Interlock RAT, el cargador JunkFiction y el ransomware Interlock.
En un ataque de ransomware observado por la empresa a principios de 2026, se observó que el actor de amenazas desplegaba Slopoly durante la fase posterior a la explotación para mantener acceso persistente al servidor comprometido durante más de una semana.
El descubrimiento de Slopoly se remonta a un script de PowerShell que probablemente se despliega en la carpeta "C:\ProgramData\Microsoft\Windows\Runtime\" mediante un creador. La persistencia se logra configurando una tarea programada llamada "Runtime Broker".
Hay indicios de que el malware fue desarrollado con la ayuda de un modelo de lenguaje grande (LLM) aún no determinado. Esto incluye la presencia de comentarios extensos, registro de eventos, manejo de errores y nombres de variables precisos. Los comentarios también describen el script como un "Cliente de persistencia C2 polimórfico", lo que indica que es parte de un marco de comando y control (C2).
"Sin embargo, el script no posee técnicas avanzadas y difícilmente puede considerarse polimórfico, ya que es incapaz de modificar su propio código durante la ejecución", señaló Mühr. "El creador puede, no obstante, generar nuevos clientes con diferentes valores de configuración aleatorizados y nombres de funciones, lo cual es una práctica estándar entre los creadores de malware".
El script de PowerShell funciona como una puerta trasera completa que puede enviar un mensaje de heartbeat con información del sistema a un servidor C2 cada 30 segundos, sondear un nuevo comando cada 50 segundos, ejecutarlo mediante "cmd.exe" y enviar los resultados de vuelta al servidor. Se desconoce la naturaleza exacta de los comandos ejecutados en la red comprometida.
Se dice que el ataque en sí utilizó la táctica de ingeniería social ClickFix para engañar a la víctima para que ejecutara un comando de PowerShell, que luego descarga NodeSnake, un malware conocido atribuido a Hive0163. NodeSnake, un componente de primera etapa, está diseñado para ejecutar comandos de shell, establecer persistencia y recuperar y lanzar un marco de malware más amplio denominado Interlock RAT.
Hive0163 tiene un historial de emplear ClickFix y malvertising para el acceso inicial. Otro método que utiliza el actor de amenazas para establecer una base es confiar en corredores de acceso inicial como TA569 (también conocido como SocGholish) y TAG-124 (también conocido como KongTuke y LandUpdate808).
El marco tiene múltiples implementaciones en PowerShell, PHP, C/C++, Java y JavaScript para admitir tanto Windows como Linux. Al igual que NodeSnake, también se comunica con un servidor remoto para obtener comandos que le permiten lanzar un túnel proxy SOCKS5, generar un shell inverso en la máquina infectada y entregar más cargas útiles, como el ransomware Interlock y Slopoly.
La aparición de Slopoly se suma a una creciente lista de malware asistido por IA, que también incluye VoidLink y PromptSpy, destacando cómo los actores maliciosos están utilizando la tecnología para acelerar el desarrollo de malware y escalar sus operaciones.
"La introducción de malware generado por IA no plantea una amenaza nueva o sofisticada desde un punto de vista técnico", dijo IBM X-Force. "Desproporcionadamente, permite a los actores de amenazas al reducir el tiempo que un operador necesita para desarrollar y ejecutar un ataque".
