Угроза Hive0163: Внедрение вредоносного ПО Slopoly с поддержкой ИИ для обеспечения устойчивого доступа в рамках программ-вымогателей
Исследователи кибербезопасности обнаружили новый вредоносный фреймворк с поддержкой искусственного интеллекта под названием Slopoly, который развертывается финансово мотивированной угрозой Hive0163. Согласно отчету IBM X-Force, предоставленному The Hacker News, это вредоносное ПО иллюстрирует растущую тенденцию использования злоумышленниками ИИ для ускорения и упрощения разработки вредоносных программ. Исследователь IBM X-Force Голо Мюэр отметил, что подобные инструменты, хотя и не самые сложные, показывают, насколько легко киберпреступники могут применять ИИ для создания новых угроз в разы быстрее, чем раньше.
Группа Hive0163 в основном связана с крупномасштабной эксфильтрацией данных и атаками программ-вымогателей для финансовой выгоды. В ее арсенале известные угрозы, такие как бэкдор NodeSnake, удаленный троян Interlock RAT, загрузчик JunkFiction и программа-вымогатель Interlock. В атаке, наблюдаемой в начале 2026 года, исследователи зафиксировали развертывание Slopoly на этапе пост-эксплуатации для обеспечения устойчивого доступа к скомпрометированному серверу более недели.
Технический анализ показывает, что обнаружение Slopoly началось со скрипта PowerShell, вероятно, созданного и развернутого с помощью специального инструмента сборки. Этот скрипт обеспечивал устойчивость, создавая запланированную задачу с именем «Runtime Broker». В коде выявлены признаки разработки с помощью большой языковой модели, включая обширные встроенные комментарии, детальное логирование, надежную обработку ошибок и точно названные переменные.
Один из комментариев в скрипте описывает его как «Полиморфный клиент устойчивости C2», позиционируя в рамках более широкой инфраструктуры командования и управления. Однако текущая реализация не столь совершенна, как подразумевает название. По словам Мюэра, скрипт не использует продвинутых техник и едва ли может считаться полиморфным, поскольку не может изменять собственный код во время выполнения.
Вероятно, характеристика «полиморфный» относится к возможностям инструмента сборки генерировать различные варианты скрипта для каждого развертывания, что является базовой формой уклонения от обнаружения. Несмотря на относительную простоту, появление Slopoly знаменует опасную эволюцию, демонстрирующую, как ИИ снижает технический барьер для злоумышленников, позволяя быстро создавать и итерировать инструменты для вымогательских операций.
