MalwareRansomwareKI-Sicherheit

KI-gestützte Malware Slopoly: Wie Hive0163 künstliche Intelligenz für Ransomware-Anschläge nutzt

KI-gestützte Malware Slopoly: Wie Hive0163 künstliche Intelligenz für Ransomware-Anschläge nutzt
Zusammenfassung

Die Bedrohungsgruppe Hive0163 nutzt zunehmend künstlich intelligente Malware-Varianten, um ihre Ransomware-Anschläge zu professionalisieren. Sicherheitsforscher haben jetzt die sogenannte Slopoly-Malware aufgedeckt, die vermutlich mit Hilfe eines großen Sprachmodells entwickelt wurde und als persistente Hintertür in kompromittierten Systemen fungiert. Die Malware wurde in einem realen Angriff beobachtet, wo sie über mehr als eine Woche hinweg Zugriff auf einen Server aufrechterhielt. Hive0163 operiert primär durch Datendiebstahl und Erpressung mittels Ransomware-Attacken und setzt dabei auf ein ausgefeiltes Arsenal von Werkzeugen. Der Fall zeigt ein neues Risikoszenario: Während Slopoly selbst technisch noch nicht hochentwickelt ist und einige Sicherheitsmängel aufweist, demonstriert die Nutzung von KI-generierten Malware-Frameworks, wie erheblich Cyberkriminelle ihre Angriffsfähigkeiten skalieren können. Für deutsche Unternehmen und Behörden bedeutet dies eine wachsende Gefahr durch beschleunigt entwickelte Malware-Varianten. Da Hive0163 über mehrere Wege wie Social Engineering und Malvertising eindringt, müssen Organisationen hierzulande ihre Abwehrmaßnahmen gegen diese mehrstufigen Attacken verstärken und Mitarbeiter verstärkt sensibilisieren.

Die Entdeckung von Slopoly markiert einen neuen Wendepunkt im Kreativprozess von Cyberkriminellen. Die Malware wurde vermutlich mit Hilfe eines großen Sprachmodells (LLM) entwickelt – darauf deuten umfangreiche Code-Kommentare, standardisierte Fehlerbehandlung und aussagekräftig benannte Variablen hin. Laut IBM-Forscher Golo Mühr zeigt dies, “wie leicht Hacker KI-Systeme nutzen können, um neue Malware-Frameworks in einem Bruchteil der bisherigen Zeit zu entwickeln”.

Slopoly funktioniert als vollwertiger Backdoor, basierend auf einem PowerShell-Skript, das über einen Builder deployt wird. Das Skript etabliert Persistenz durch eine geplante Aufgabe namens “Runtime Broker” und kommuniziert alle 30 Sekunden mit einem Command-and-Control-Server, während es alle 50 Sekunden auf neue Befehle prüft. Die Malware bezeichnet sich selbst als “Polymorphic C2 Persistence Client”, obwohl sie – trotz des Namens – keine erweiterten Polymorphie-Techniken nutzt.

Hive0163 greift auf bewährte Angriffsvektoren zurück: Die ClickFix-Social-Engineering-Taktik wird eingesetzt, um Opfer zur Ausführung bösartiger PowerShell-Befehle zu verleiten. Dies führt zur Installation von NodeSnake, einer bekannten Malware der Gruppe, die als erste Stufe fungiert. NodeSnake lädt dann das Interlock-RAT-Framework nach – eine Multi-Plattform-Lösung mit Implementierungen in PowerShell, PHP, C/C++, Java und JavaScript für Windows und Linux Systeme.

Die Angriffskette zeigt professionelle Struktur: Nach dem initialen Zugriff übernimmt Interlock RAT die Kontrolle und ermöglicht die Ausführung der finalen Payloads – einschließlich Interlock-Ransomware und eben Slopoly. Hive0163 nutzt außerdem anfängliche Zugriff über Broker wie TA569 (SocGholish) und TAG-124.

Experten warnen: Die KI-generierte Malware stellt technisch zwar keine revolutionär neue Bedrohung dar, potenziert aber die Effizienz von Hackern erheblich. “Die Einführung von KI-Malware reduziert die Entwicklungszeit für Angreifer dramatisch und ermöglicht eine massivere Skalierung”, so IBM X-Force. Mit Slopoly, VoidLink und PromptSpy wächst eine neue Generation von KI-unterstützten Malware-Tools – ein Weckruf für deutsche Sicherheitsverantwortliche.

Ähnliche Artikel