Pesquisadores em cibersegurança revelaram detalhes de um malware suspeito de ter sido gerado por inteligência artificial (IA), batizado de Slopoly, utilizado por um grupo de cibercriminosos conhecido como Hive0163.
Esse grupo atua por motivações financeiras, focando em extorsão por meio de exfiltração massiva de dados e ataques de ransomware.
De acordo com o especialista da IBM X-Force, Golo Mühr, embora ainda não seja tecnicamente avançado, o Slopoly demonstra como atores maliciosos podem utilizar IA para desenvolver novas famílias de malware em um tempo muito inferior ao habitual.
O Hive0163 é conhecido por empregar diversas ferramentas maliciosas, como NodeSnake, Interlock RAT, JunkFiction loader e o ransomware Interlock.
Em um ataque de ransomware registrado no início de 2026, o Slopoly foi usado na fase pós-exploração para garantir acesso persistente ao servidor comprometido por mais de uma semana.
A análise indicou que o malware pode ter sido criado por um builder que instala o backdoor via script PowerShell, configurando persistência por meio de uma tarefa agendada chamada "Runtime Broker".
Aspectos do código sugerem o auxílio de um modelo de linguagem de grande porte (LLM), ainda não identificado, devido à presença de comentários extensos, tratamento de erros, logging e variáveis nomeadas com precisão.
O script é descrito como um "Polymorphic C2 Persistence Client", indicando que faz parte de uma estrutura de comando e controle (C2).
No entanto, segundo Mühr, o Slopoly não apresenta técnicas sofisticadas nem é realmente polimórfico, pois não modifica seu próprio código em execução.
O builder, entretanto, pode gerar clientes com configurações e nomes de funções aleatórios, prática comum em criadores de malware.
Funcionalmente, o script atua como um backdoor completo que envia mensagens periódicas com informações do sistema para um servidor C2 a cada 30 segundos, verifica comandos a cada 50 segundos, executa-os via cmd.exe e retorna os resultados.
A natureza exata desses comandos ainda não foi descoberta.
O ataque inicial usou a tática de engenharia social conhecida como ClickFix para induzir a vítima a executar um comando PowerShell, que baixou o malware NodeSnake, responsável por executar comandos shell, garantir persistência e orquestrar o carregamento do framework maior Interlock RAT.
O Hive0163 costuma usar ClickFix, malvertising e até contratar brokers de acesso inicial como TA569 (aka SocGholish) e TAG-124 (conhecido como KongTuke e LandUpdate808) para garantir entrada nas redes.
O framework malicioso apresenta versões em PowerShell, PHP, C/C++, Java e JavaScript, compatível tanto com ambientes Windows quanto Linux.
Semelhante ao NodeSnake, ele se comunica com servidores remotos para buscar comandos que permitem criar túneis SOCKS5, iniciar shells reversos e entregar cargas adicionais, como o ransomware Interlock e o próprio Slopoly.
A descoberta do Slopoly reforça a tendência crescente de malwares desenvolvidos com o auxílio da IA, como VoidLink e PromptSpy, evidenciando como criminosos estão usando essa tecnologia para acelerar a criação de malware e ampliar suas operações.
Em resumo, conforme a IBM X-Force, a chegada de malwares gerados por IA não representa, tecnicamente, uma ameaça mais sofisticada, mas reduz significativamente o tempo necessário para agentes maliciosos desenvolverem e executarem ataques, beneficiando-os de forma desproporcional.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...