Hive0163 y el uso de Slopoly: el riesgo del malware impulsado por IA
Publicado el
Introducción al malware Slopoly
Investigadores de ciberseguridad han alertado sobre el uso de un nuevo malware conocido como Slopoly, que se sospecha fue generado con inteligencia artificial (IA) por el grupo de ciberdelincuentes Hive0163. Aunque todavía no es particularmente sofisticado, este tipo de malware demuestra cómo los atacantes pueden aprovechar la IA para desarrollar frameworks de malware de forma más rápida y eficiente.
Operaciones de Hive0163
Hive0163 se centra en la extorsión mediante la exfiltración masiva de datos y el ransomware. Este grupo está asociado con diversas herramientas maliciosas, entre las que se incluyen NodeSnake, Interlock RAT, JunkFiction loader y el ransomware Interlock. En un ataque de ransomware documentado a principios de 2026, se observó que Hive0163 empleó Slopoly durante la fase de post-explotación, logrando mantener acceso persistente a un servidor comprometido durante más de una semana.
Características de Slopoly
El descubrimiento de Slopoly se remonta a un script de PowerShell que se despliega en la carpeta C:\ProgramData\Microsoft\Windows\Runtime\. La persistencia de este malware se logra mediante la creación de una tarea programada denominada Runtime Broker. Se ha encontrado evidencia de que el malware pudo haber sido desarrollado utilizando un modelo de lenguaje grande (LLM), dado que el script incluye comentarios extensos, manejo de errores y variables bien nombradas. Sin embargo, los expertos indican que el script no emplea técnicas avanzadas y no puede considerarse verdaderamente polimórfico, ya que no modifica su propio código durante la ejecución.
Funcionalidad del malware
El script de PowerShell actúa como un backdoor completo, enviando un mensaje de pulso con información del sistema a un servidor de comando y control (C2) cada 30 segundos, y consultando un nuevo comando cada 50 segundos. Aún se desconoce la naturaleza exacta de los comandos ejecutados en la red comprometida. Este ataque utilizó la táctica de ingeniería social ClickFix para engañar a la víctima y hacer que ejecutara un comando de PowerShell que descargaba NodeSnake, malware previamente atribuido a Hive0163.
NodeSnake, como componente de primera etapa, está diseñado para ejecutar comandos de shell, establecer persistencia y recuperar otros frameworks de malware, como Interlock RAT. Hive0163 ha demostrado un historial de empleo de ClickFix y malvertising para acceder inicialmente a los sistemas. Otra estrategia utilizada por el grupo para establecer un acceso inicial implica la colaboración con brokers de acceso inicial como TA569 (también conocido como SocGholish) y TAG-124 (también conocido como KongTuke y LandUpdate808).
Implicaciones del uso de IA en malware
El framework de Slopoly cuenta con múltiples implementaciones en PowerShell, PHP, C/C++, Java y JavaScript, lo que permite su funcionamiento tanto en Windows como en Linux. Al igual que NodeSnake, Slopoly se comunica con un servidor remoto para recibir comandos que le permiten lanzar un túnel de proxy SOCKS5, abrir una shell inversa en la máquina infectada y entregar más cargas útiles, como el ransomware Interlock y Slopoly.
La aparición de Slopoly se suma a una creciente lista de malware asistido por IA, que incluye otros ejemplos como VoidLink y PromptSpy. Esto pone de manifiesto cómo los actores maliciosos están utilizando la tecnología de IA para acelerar el desarrollo de malware y ampliar sus operaciones. Según IBM X-Force, la introducción de malware generado por IA no representa una nueva amenaza técnica, pero sí permite a los ciberdelincuentes reducir el tiempo necesario para desarrollar y llevar a cabo un ataque.