Các nhà nghiên cứu an ninh mạng đã công bố thông tin chi tiết về một mã độc được cho là do trí tuệ nhân tạo (AI) tạo ra, có tên mã là Slopoly, được sử dụng bởi một tác nhân đe dọa có động cơ tài chính tên là Hive0163.
"Mặc dù vẫn còn tương đối không ngoạn mục, mã độc do AI tạo ra như Slopoly cho thấy các tác nhân đe dọa có thể dễ dàng vũ khí hóa AI để phát triển các framework mã độc mới chỉ trong một phần nhỏ thời gian trước đây," nhà nghiên cứu Golo Mühr của IBM X-Force cho biết trong một báo cáo được chia sẻ với The Hacker News.
Các hoạt động của Hive0163 được thúc đẩy bởi việc tống tiền thông qua việc đánh cắp dữ liệu quy mô lớn và ransomware. Nhóm tội phạm điện tử này chủ yếu có liên quan đến một loạt các công cụ độc hại, bao gồm NodeSnake, Interlock RAT, JunkFiction loader và Interlock ransomware.
Trong một cuộc tấn công ransomware được công ty ghi nhận vào đầu năm 2026, tác nhân đe dọa này đã triển khai Slopoly trong giai đoạn hậu khai thác để duy trì quyền truy cập liên tục vào máy chủ bị xâm nhập trong hơn một tuần.
Việc phát hiện ra Slopoly có thể bắt nguồn từ một script PowerShell có thể được triển khai thông qua một builder, script này cũng thiết lập tính bền bỉ thông qua một tác vụ theo lịch trình gọi là "Runtime Broker."
Có những dấu hiệu cho thấy mã độc này được phát triển với sự trợ giúp của một large language model (LLM) chưa xác định. Điều này bao gồm sự hiện diện của các bình luận chi tiết, ghi log, xử lý lỗi và các biến được đặt tên chính xác. Các bình luận cũng mô tả script này là một "Polymorphic C2 Persistence Client", cho thấy nó là một phần của framework command-and-control (C2).
"Tuy nhiên, script không sở hữu bất kỳ kỹ thuật tiên tiến nào và khó có thể được coi là polymorphic, vì nó không thể sửa đổi mã của chính nó trong quá trình thực thi," Mühr lưu ý. "Tuy nhiên, builder có thể tạo ra các client mới với các giá trị cấu hình và tên hàm được ngẫu nhiên hóa khác nhau, đây là thực tiễn tiêu chuẩn trong số các builder mã độc."
Script PowerShell này hoạt động như một backdoor hoàn chỉnh có thể gửi một thông điệp heartbeat chứa thông tin hệ thống đến một C2 server cứ sau 30 giây, thăm dò lệnh mới cứ sau 50 giây, thực thi lệnh đó qua "cmd.exe," và chuyển tiếp kết quả trở lại server. Bản chất chính xác của các lệnh được chạy trên mạng bị xâm nhập hiện chưa được biết.
Cuộc tấn công được cho là đã tận dụng chiến thuật social engineering ClickFix để lừa nạn nhân chạy một lệnh PowerShell, sau đó tải xuống NodeSnake, một mã độc đã biết được quy cho Hive0163. NodeSnake, một thành phần giai đoạn đầu, được thiết kế để chạy các lệnh shell, thiết lập tính bền bỉ và truy xuất cũng như khởi chạy một framework mã độc rộng hơn được gọi là Interlock RAT.
Hive0163 có lịch sử sử dụng ClickFix và malvertising để truy cập ban đầu. Một phương pháp khác mà tác nhân đe dọa này sử dụng để thiết lập chỗ đứng là dựa vào các initial access broker như TA569 (còn gọi là SocGholish) và TAG-124 (còn gọi là KongTuke và LandUpdate808).
Framework này có nhiều triển khai trong PowerShell, PHP, C/C++, Java và JavaScript để hỗ trợ cả Windows và Linux. Giống như NodeSnake, nó cũng giao tiếp với một máy chủ từ xa để lấy các lệnh cho phép nó khởi chạy SOCKS5 proxy tunnel, tạo một reverse shell trên máy bị nhiễm và gửi thêm các payload, chẳng hạn như Interlock ransomware và Slopoly.
Sự xuất hiện của Slopoly bổ sung vào danh sách ngày càng tăng các mã độc được hỗ trợ bởi AI, bao gồm cả VoidLink và PromptSpy, làm nổi bật cách các tác nhân xấu đang sử dụng công nghệ này để đẩy nhanh quá trình phát triển mã độc và mở rộng quy mô hoạt động của chúng.
"Việc giới thiệu mã độc do AI tạo ra không đặt ra một mối đe dọa mới hoặc tinh vi từ góc độ kỹ thuật," IBM X-Force cho biết. "Nó tạo điều kiện thuận lợi đáng kể cho các tác nhân đe dọa bằng cách giảm thời gian mà một nhà điều hành cần để phát triển và thực hiện một cuộc tấn công."
