Hive0163团伙利用AI辅助生成的Slopoly恶意软件在勒索攻击中实现持久访问

网络安全研究人员披露了一个名为Slopoly的疑似人工智能生成恶意软件的详细信息，该恶意软件被名为Hive0163的经济动机威胁组织所使用。

IBM X-Force研究员Golo Mühr在与The Hacker News分享的报告中表示："尽管仍相对普通，但像Slopoly这样的AI生成恶意软件显示了威胁行为者如何轻松地将AI武器化，以极短时间开发新的恶意软件框架。"

Hive0163的运营通过大规模数据窃取和勒索软件进行勒索。该电子犯罪组织主要与各种恶意工具相关，包括NodeSnake、Interlock RAT、JunkFiction加载器和Interlock勒索软件。

在该公司观察到的一次2026年初的勒索攻击中，威胁行为者在后渗透阶段部署Slopoly，以维持对被入侵服务器超过一周的持久访问。

Slopoly的发现可以追溯到一个PowerShell脚本，该脚本可能通过构建器部署，并通过名为"Runtime Broker"的计划任务建立持久性。

有迹象表明该恶意软件是在尚未确定的大语言模型帮助下开发的。这包括大量注释、日志记录、错误处理和准确命名的变量的存在。注释还将脚本描述为"多态C2持久性客户端"，表明它是命令控制框架的一部分。

"然而，该脚本并不具备任何高级技术，很难被认为是多态的，因为它无法在执行过程中修改自己的代码，"Mühr指出。"不过，构建器可能会生成具有不同随机化配置值和函数名的新客户端，这是恶意软件构建器的标准做法。"

PowerShell脚本充当成熟的后门，可以每30秒向C2服务器发送包含系统信息的心跳消息，每50秒轮询新命令，通过"cmd.exe"执行命令，并将结果传回服务器。在被入侵网络上运行的命令的确切性质目前未知。

该攻击本身据说利用了ClickFix社会工程策略来欺骗受害者运行PowerShell命令，然后下载NodeSnake，这是一个归属于Hive0163的已知恶意软件。作为第一阶段组件，NodeSnake旨在运行shell命令、建立持久性，并检索和启动更广泛的恶意软件框架Interlock RAT。

Hive0163有使用ClickFix和恶意广告进行初始访问的记录。该威胁行为者用来建立立足点的另一种方法是依赖初始访问代理，如TA569（又名SocGholish）和TAG-124（又名KongTuke和LandUpdate808）。

该框架在PowerShell、PHP、C/C++、Java和JavaScript中有多种实现，以支持Windows和Linux。与NodeSnake一样，它也与远程服务器通信以获取命令，允许它启动SOCKS5代理隧道，在被感染的机器上生成反向shell，并传递更多有效载荷，如Interlock勒索软件和Slopoly。

Slopoly的出现增加了AI辅助恶意软件的不断增长列表，其中还包括VoidLink和PromptSpy，突出了恶意行为者如何使用该技术来加速恶意软件开发并扩大其运营规模。

IBM X-Force表示："从技术角度来看，AI生成恶意软件的引入并不构成新的或复杂的威胁。它通过减少操作者开发和执行攻击所需的时间，不成比例地使威胁行为者受益。"

Q&A

Q1：Slopoly恶意软件有什么特点？

A：Slopoly是一个疑似AI生成的恶意软件，具有大量注释、日志记录、错误处理和准确命名的变量。它充当成熟的后门，可以每30秒向C2服务器发送心跳消息，每50秒轮询新命令，并执行命令将结果传回服务器。

Q2：Hive0163威胁组织主要使用哪些攻击工具？

A：Hive0163主要与NodeSnake、Interlock RAT、JunkFiction加载器和Interlock勒索软件等恶意工具相关。他们通过大规模数据窃取和勒索软件进行勒索，还使用ClickFix社会工程策略和恶意广告进行初始访问。

Q3：AI生成的恶意软件对网络安全有什么影响？

A：AI生成的恶意软件虽然从技术角度看并不构成新的复杂威胁，但它显著减少了威胁行为者开发和执行攻击所需的时间，使他们能够更快地开发新的恶意软件框架并扩大运营规模，包括VoidLink、PromptSpy等都是此类威胁的例子。