Pesquisadores de segurança cibernética divulgaram detalhes de um suposto malware gerado por inteligência artificial (IA) com codinome Desleixado colocado em uso por um ator de ameaça com motivação financeira chamado Colmeia0163.
“Embora ainda relativamente nada espetacular, o malware gerado por IA, como o Slopoly, mostra como é fácil que os agentes de ameaças possam usar a IA como arma para desenvolver novas estruturas de malware em uma fração do tempo que costumava levar”, disse o pesquisador do IBM X-Force, Golo Mühr. disse em um relatório compartilhado com The Hacker News.
As operações do Hive0163 são impulsionadas por extorsão por meio de exfiltração de dados em grande escala e ransomware. O grupo de crime eletrônico está associado principalmente a uma ampla gama de ferramentas maliciosas, incluindo NodeSnake, Interlock RAT, carregador JunkFiction e ransomware Interlock.
Num ataque de ransomware observado pela empresa no início de 2026, o autor da ameaça foi observado a implementar o Slopoly durante a fase pós-exploração para manter o acesso persistente ao servidor comprometido durante mais de uma semana.
A descoberta de Slopoly pode ser rastreada até um script do PowerShell que provavelmente foi implantado por meio de um construtor, que também estabeleceu persistência por meio de uma tarefa agendada chamada “Runtime Broker”.
Há sinais de que o malware foi desenvolvido com a ajuda de um modelo de linguagem grande (LLM) ainda indeterminado. Isso inclui a presença de comentários extensos, registro em log, tratamento de erros e variáveis nomeadas com precisão. Os comentários também descrevem o script como um “Cliente de Persistência C2 Polimórfico”, indicando que ele faz parte de uma estrutura de comando e controle (C2).
“No entanto, o script não possui técnicas avançadas e dificilmente pode ser considerado polimórfico, pois não consegue modificar seu próprio código durante a execução”, observou Mühr. “O construtor pode, no entanto, gerar novos clientes com diferentes valores de configuração e nomes de funções aleatórios, o que é uma prática padrão entre os criadores de malware.”
O script do PowerShell funciona como um backdoor completo que pode sinalizar uma mensagem de pulsação contendo informações do sistema para um servidor C2 a cada 30 segundos, pesquisar um novo comando a cada 50 segundos, executá-lo via “cmd.exe” e retransmitir os resultados de volta ao servidor. A natureza exata dos comandos executados na rede comprometida é atualmente desconhecida.
Diz-se que o ataque em si aproveitou a tática de engenharia social ClickFix para induzir a vítima a executar um comando do PowerShell, que então baixa o NodeSnake, um malware conhecido atribuído ao Hive0163. Um componente de primeiro estágio, NodeSnake, foi projetado para executar comandos shell, estabelecer persistência e recuperar e lançar uma estrutura de malware mais ampla conhecida como Interlock RAT.
Hive0163 tem um histórico de emprego de ClickFix e malvertising para acesso inicial. Outro método que o agente da ameaça usa para estabelecer uma posição é confiar em corretores de acesso inicial, como TA569 (também conhecido como SocGholish) e TAG-124 (também conhecido como KongTuke e LandUpdate808).
A estrutura tem várias implementações em PowerShell, PHP, C/C++, Java e JavaScript para oferecer suporte a Windows e Linux. Assim como o NodeSnake, ele também se comunica com um servidor remoto para buscar comandos que permitem iniciar um túnel proxy SOCKS5, gerar um shell reverso na máquina infectada e entregar mais cargas úteis, como Interlock ransomware e Slopoly.
O surgimento do Slopoly se soma a uma lista crescente de malware assistido por IA, que também inclui VoidLink e PromptSpy, destacando como os malfeitores estão usando a tecnologia para acelerar o desenvolvimento de malware e escalar suas operações.
“A introdução de malware gerado por IA não representa uma ameaça nova ou sofisticada do ponto de vista técnico”, disse IBM X-Force. “Isso capacita desproporcionalmente os agentes de ameaças, reduzindo o tempo que um operador precisa para desenvolver e executar um ataque.”
Deseja saber mais sobre Segurança Clique Aqui!