Een nieuwe malwarevariant genaamd Slopoly, waarschijnlijk ontwikkeld met generatieve AI-tools, stelde een dreigingsactor in staat om meer dan een week onopgemerkt op een gecompromitteerde server te blijven en data te stelen tijdens een Interlock ransomware-aanval. De aanval begon met een ClickFix social engineering-truc, waarna de hackers de Slopoly backdoor implementeerden als een PowerShell-script dat fungeert als client voor het command-and-control (C2) framework.

Onderzoekers van IBM X-Force analyseerden het script en vonden sterke aanwijzingen dat het met een groot taalmodel (LLM) was gemaakt, hoewel niet duidelijk is welk model precies. De aanwijzingen voor AI-ondersteuning zijn onder meer uitgebreide commentaren in de code, gestructureerde logging, foutafhandeling en duidelijk benoemde variabelen, wat zelden voorkomt bij door mensen gemaakte malware. De aanval wordt toegeschreven aan een financieel gemotiveerde groep die IBM volgt onder de naam Hive0163, met als hoofddoel afpersing via grootschalige data-exfiltratie en ransomware.

Hoewel Slopoly relatief eenvoudig is, toont het gebruik ervan in ransomware-aanvallen aan dat AI-tools worden ingezet om de ontwikkeling van aangepaste malware te versnellen en detectie te ontwijken. Het script wordt omschreven als een “Polymorphic C2 Persistence Client”, maar IBM vond geen functies die zelfmodificatie tijdens uitvoering mogelijk maken. De malware wordt ingezet vanuit de map C:\ProgramData\Microsoft\Windows\Runtime\ en voert onder andere systeeminformatie verzameling uit, stuurt elke 30 seconden een heartbeat naar /api/commands, pollt elke 50 seconden op opdrachten en voert deze uit via cmd.exe. Daarnaast onderhoudt het een rotatie van persistence.log bestanden en zorgt het voor blijvende aanwezigheid via een geplande taak genaamd “Runtime Broker”.

De ondersteunde opdrachten maken het mogelijk om EXE-, DLL- of JavaScript-payloads te downloaden en uit te voeren, shell-commando’s te draaien, beaconing-intervals aan te passen, updates uit te voeren of het proces te beëindigen. De aanvalsketen die IBM observeerde startte met ClickFix social engineering en gebruikte naast Slopoly ook andere malwarecomponenten zoals NodeSnake en InterlockRAT backdoors.

Interlock ransomware verscheen in 2024 en was een vroege gebruiker van de ClickFix techniek, later ook van de FileFix variant. De groep achter Interlock claimde aanvallen op onder meer Texas Tech University System, DaVita, Kettering Health en de stad Saint Paul in Minnesota. De ransomware wordt geleverd via de JunkFiction loader en kan als geplande taak draaien met SYSTEM-rechten. Het gebruikt de Windows Restart Manager API om vergrendelde bestanden vrij te geven en voegt extensies toe zoals ‘. !NT3RLOCK’ of ‘.int3R1Ock’ aan de versleutelde bestanden. IBM vermoedt dat Hive0163 ook banden heeft met ontwikkelaars van andere malwarefamilies zoals Broomstick, SocksShell, PortStarter, SystemBC en Rhysida ransomware.