Slopoly svela il futuro del cybercrime: il codice del nuovo strumento di Hive0163 è scritto dall’Intelligenza Artificiale

IBM X-Force ha individuato una nuova campagna ransomware che utilizza malware sviluppato con intelligenza artificiale. Gli analisti hanno identificato un framework chiamato Slopoly, utilizzato dal gruppo cybercriminale Hive0163 durante attacchi condotti all’inizio del 2026. Il malware è stato scoperto su un server compromesso dove gli aggressori sono riusciti a mantenere l’accesso per oltre una settimana. Secondo i ricercatori, lo script che compone Slopoly mostra caratteristiche tipiche di codice generato da large language model (LLM). Questo episodio rappresenta uno dei primi casi documentati di ransomware sviluppato con il supporto dell’AI nel panorama delle minacce reali.

IBM X-Force individua Slopoly come framework C2 sviluppato con AI

L’analisi condotta da IBM X-Force ha portato alla scoperta di uno script PowerShell installato su un server compromesso. Lo script rappresenta il componente client di un nuovo framework di command and control (C2) denominato Slopoly, progettato per mantenere persistenza nel sistema e comunicare con l’infrastruttura controllata dagli attaccanti. Il malware viene distribuito all’interno della directory C:\ProgramData\Microsoft\Windows\Runtime e crea persistenza tramite un task schedulato denominato Runtime Broker. Una volta attivo, lo script raccoglie informazioni sul sistema compromesso e le invia al server C2 tramite richieste HTTP POST in formato JSON. Il malware invia un heartbeat ogni 30 secondi, mentre interroga il server per nuovi comandi ogni 50 secondi. Questa comunicazione continua permette agli aggressori di controllare la macchina compromessa e di eseguire comandi remoti attraverso cmd.exe. I risultati delle operazioni vengono quindi trasmessi al server C2, consentendo agli operatori di monitorare l’attacco in tempo reale.

Il codice del malware suggerisce sviluppo con large language model

Uno degli elementi più interessanti rilevati dagli analisti riguarda la struttura del codice. Lo script presenta caratteristiche tipiche di software generato da modelli linguistici di grandi dimensioni, tra cui commenti molto estesi, gestione dettagliata degli errori e nomi di variabili particolarmente descrittivi. Il codice include anche componenti non utilizzati, come una funzione chiamata Jitter, che sembra essere un residuo di sviluppo iterativo. Questo tipo di incongruenza è frequente nei programmi creati con l’assistenza di strumenti AI, dove parti del codice vengono generate automaticamente ma non sempre utilizzate nella versione finale.

Il malware descrive se stesso nei commenti come Polymorphic C2 Persistence Client, anche se in realtà non implementa tecniche di polimorfismo reali. Il codice non modifica infatti la propria struttura durante l’esecuzione, limitandosi a utilizzare configurazioni generate dinamicamente dal builder che crea nuovi client con parametri randomizzati.

Slopoly dimostra come l’AI acceleri lo sviluppo di malware

Secondo IBM X-Force, Slopoly rappresenta un esempio concreto di come gli attori malevoli stiano iniziando a utilizzare l’intelligenza artificiale per accelerare lo sviluppo di strumenti di attacco. In passato la creazione di malware complessi richiedeva competenze tecniche avanzate e tempi di sviluppo relativamente lunghi. Con l’uso di LLM, gli aggressori possono generare rapidamente framework di comando e controllo funzionali. Nel caso di Slopoly, il malware non presenta tecniche particolarmente sofisticate dal punto di vista tecnico. Tuttavia dimostra che l’AI può ridurre significativamente il tempo necessario per sviluppare nuovi strumenti offensivi. Questo abbassa la barriera di ingresso per gruppi cybercriminali con competenze limitate, aumentando il numero potenziale di attori in grado di creare malware personalizzato. Gli analisti descrivono questa fase come l’inizio di una corsa agli armamenti tra AI offensiva e difensiva, in cui gli attaccanti sfruttano modelli generativi mentre i difensori cercano di utilizzare strumenti simili per individuare e bloccare le minacce.

La catena di infezione parte da attacchi ClickFix

La campagna analizzata da IBM X-Force inizia con una tecnica di social engineering chiamata ClickFix. In questo scenario gli utenti vengono convinti a eseguire manualmente un comando PowerShell tramite la finestra di esecuzione di Windows. La pagina malevola presenta spesso un elemento simile a un CAPTCHA che invita l’utente a copiare un comando negli appunti. Successivamente la vittima viene istruita a premere Win+R, incollare il comando e premere Invio. Questa azione avvia lo script che scarica il payload iniziale dell’attacco.

Il primo malware installato è NodeSnake, un framework basato su NodeJS che funge da piattaforma C2 iniziale. NodeSnake è in grado di eseguire codice scritto in diversi linguaggi, tra cui PowerShell, JavaScript e C++. Questo rende il framework estremamente flessibile e adatto a operazioni multipiattaforma. Una volta stabilito il controllo iniziale del sistema, gli aggressori distribuiscono ulteriori componenti come InterlockRAT, un malware basato su JavaScript che utilizza web sockets per comunicare con il server C2. Questa fase consente agli attaccanti di eseguire comandi avanzati, stabilire tunnel SOCKS5 e aprire reverse shell per controllare la macchina compromessa.

Hive0163 utilizza Slopoly nelle fasi avanzate degli attacchi

Il gruppo cybercriminale Hive0163 è noto per operazioni ransomware globali e per l’uso di strumenti personalizzati durante le fasi di post-compromise. Secondo IBM, Slopoly viene distribuito nelle fasi finali dell’attacco, quando gli aggressori hanno già ottenuto accesso stabile alla rete della vittima. Questo suggerisce che il malware venga utilizzato come parte di un test operativo reale, una sorta di esercitazione live-fire in cui il gruppo sperimenta nuovi strumenti direttamente durante le intrusioni. Hive0163 è stato associato in passato a diversi strumenti malevoli, tra cui NodeSnake, InterlockRAT, JunkFiction loader e Interlock ransomware. Il gruppo mantiene l’accesso ai sistemi compromessi per lunghi periodi di tempo, raccogliendo informazioni sensibili e preparando l’infrastruttura per l’esecuzione del ransomware. La presenza di Slopoly su un server compromesso per più di sette giorni indica che il malware è stato utilizzato per garantire persistenza durante l’intera operazione.

L’AI cambia il panorama delle minacce informatiche

La scoperta di Slopoly rappresenta un segnale importante dell’evoluzione delle minacce informatiche. L’uso dell’intelligenza artificiale nel cybercrime non è più limitato alla generazione di phishing o alla creazione di contenuti falsi. Gli attori malevoli stanno iniziando a utilizzare modelli AI per sviluppare direttamente strumenti di attacco. Secondo IBM X-Force, l’uso dell’AI nel malware development è attualmente più diffuso rispetto alla cosiddetta AI agentica, cioè sistemi capaci di prendere decisioni autonome durante le operazioni di attacco. Tuttavia la direzione è chiara: l’intelligenza artificiale sta diventando uno strumento sempre più centrale nella creazione di infrastrutture malware. Questa evoluzione costringe gli specialisti di cybersecurity a rivedere i modelli tradizionali di difesa. Se la creazione di malware diventa più veloce e accessibile, i sistemi di rilevamento devono essere in grado di identificare nuove varianti con tempi sempre più rapidi.

Una nuova corsa agli armamenti nella cybersecurity

Gli esperti descrivono l’attuale scenario come l’inizio di una nuova corsa agli armamenti tecnologici. Da un lato gli attori malevoli sfruttano modelli generativi per creare malware e automatizzare alcune fasi degli attacchi. Dall’altro le aziende di sicurezza stanno sviluppando strumenti di difesa basati sulla stessa tecnologia. L’obiettivo è utilizzare l’intelligenza artificiale per analizzare grandi quantità di dati di sicurezza, individuare anomalie e bloccare le intrusioni prima che possano causare danni significativi. Tuttavia, come spesso accade nella sicurezza informatica, l’equilibrio tra attacco e difesa è destinato a evolversi rapidamente. La scoperta di Slopoly dimostra che l’uso offensivo dell’intelligenza artificiale è ormai una realtà concreta. Anche se il malware analizzato da IBM non rappresenta ancora una minaccia tecnicamente sofisticata, il suo valore simbolico è significativo: segna uno dei primi esempi documentati di malware sviluppato con l’aiuto diretto di un large language model.