Die Spur zu Slopoly führt zu einem PowerShell-Skript, das vermutlich über einen Builder ausgebracht wird und sich per geplanter Aufgabe namens “Runtime Broker” dauerhaft im System verankert. Mehrere Merkmale deuten laut IBM X-Force darauf hin, dass die Malware mit Unterstützung eines bislang nicht bestimmten großen Sprachmodells (LLM) entwickelt wurde: ausführliche Kommentare, umfangreiches Logging, Fehlerbehandlung und treffend benannte Variablen. In den Kommentaren wird das Skript als “polymorpher C2-Persistenz-Client” bezeichnet, was auf die Zugehörigkeit zu einem Command-and-Control-Framework (C2) hinweist.

Forscher Golo Mühr ordnet diese Selbstbeschreibung allerdings ein: Das Skript verfüge über keine fortgeschrittenen Techniken und könne kaum als polymorph gelten, da es seinen eigenen Code während der Ausführung nicht verändern könne. Der Builder könne jedoch neue Clients mit unterschiedlichen, zufällig gewählten Konfigurationswerten und Funktionsnamen erzeugen – gängige Praxis bei Malware-Buildern.

Funktional arbeitet das Skript als vollwertige Backdoor. Alle 30 Sekunden sendet es eine Heartbeat-Nachricht mit Systeminformationen an einen C2-Server, alle 50 Sekunden fragt es einen neuen Befehl ab, führt diesen über “cmd.exe” aus und meldet die Ergebnisse zurück. Welche Befehle im kompromittierten Netzwerk tatsächlich ausgeführt wurden, ist derzeit nicht bekannt.

Der Angriff selbst nutzte die Social-Engineering-Methode ClickFix, um ein Opfer zur Ausführung eines PowerShell-Befehls zu bewegen. Dieser lud NodeSnake nach, eine bereits Hive0163 zugeschriebene Malware. Als Komponente der ersten Stufe ist NodeSnake darauf ausgelegt, Shell-Befehle auszuführen, sich dauerhaft einzunisten und ein umfangreicheres Framework namens Interlock RAT nachzuladen und zu starten.

Hive0163 setzt bei der Erstinfektion erfahrungsgemäß auf ClickFix und Malvertising. Zusätzlich greift die Gruppe auf Initial Access Broker wie TA569 (auch SocGholish) und TAG-124 (auch KongTuke und LandUpdate808) zurück. Das Framework liegt in mehreren Implementierungen in PowerShell, PHP, C/C++, Java und JavaScript vor und unterstützt sowohl Windows als auch Linux. Wie NodeSnake holt es Befehle von einem entfernten Server, um einen SOCKS5-Proxy-Tunnel aufzubauen, eine Reverse Shell auf dem infizierten Rechner zu öffnen und weitere Schadlasten wie die Interlock-Ransomware und Slopoly auszuliefern.

Mit Slopoly wächst die Liste KI-gestützter Malware weiter, zu der laut IBM X-Force auch VoidLink und PromptSpy zählen. Das Unternehmen betont, dass KI-generierte Malware technisch keine neue oder ausgefeilte Bedrohung darstelle, Angreifern aber unverhältnismäßig zugutekomme, weil sie die Zeit verkürze, die ein Operator für Entwicklung und Ausführung eines Angriffs benötige.