Die Cybersicherheitsforscher von IBM X-Force haben eine neue Malware-Variante analysiert, die unter dem Namen Slopoly bekannt ist und deutliche Merkmale einer KI-generierten Entwicklung trägt. Die Schadsoftware wurde in Ransomware-Attacken der Gruppe Hive0163 eingesetzt, einer Cyberkriminellen-Organisation, die sich auf großflächige Datendiebstähle und Erpressung durch Ransomware spezialisiert hat.
Die Angreifer nutzten zunächst eine ClickFix-Social-Engineering-Kampagne, um in die Systeme einzudringen. Slopoly wurde dann als PowerShell-Script bereitgestellt und fungierte als Client für ein Command-and-Control-Framework (C2). Die Malware blieb über mehr als eine Woche unentdeckt auf den Servern der Opfer aktiv und ermöglichte den Diebstahl sensibler Daten.
Die Analyse durch IBM X-Force offenbarte mehrere Indikatoren für eine KI-gestützte Entwicklung. Das Code-Gerüst enthält umfangreiche Kommentare, strukturiertes Logging, ausgefeilte Fehlerbehandlung und aussagekräftig benannte Variablen — alles Eigenschaften, die in von Menschen entwickelter Malware äußerst selten sind. IBM konnte jedoch nicht bestimmen, welches konkrete Sprachmodell verwendet wurde.
Trotz seiner Bezeichnung als “Polymorphic C2 Persistence Client” verfügt Slopoly über keine echten polymorphen Eigenschaften. Die Malware kann ihren eigenen Code während der Ausführung nicht verändern, was ein Kernmerkmal echter polymorphen Malware darstellt. Stattdessen wird die Schadsoftware vermutlich von einem Builder-Tool generiert, das verschiedene Konfigurationswerte wie Beacon-Intervalle, C2-Adressen und Session-IDs einfügt.
Die erkannte Version wurde in “C:\ProgramData\Microsoft\Windows\Runtime" installiert und unterstützte zahlreiche Funktionen: das Herunterladen und Ausführen von EXE-, DLL- und JavaScript-Payloads, das Ausführen von Shell-Befehlen, die Anpassung von Beacon-Intervallen sowie die Selbstaktualisierung.
In den von IBM analysierten Angriffen wurden neben Slopoly weitere Malware-Komponenten eingesetzt, darunter die Backdoors NodeSnake und InterlockRAT. Die Interlock-Ransomware selbst wurde als 64-Bit-Windows-Executable über den JunkFiction-Loader bereitgestellt und verschlüsselte Dateien mit den Erweiterungen “.!NT3RLOCK” oder “.int3R1Ock”.
Die Hive0163-Gruppe soll auch Verbindungen zu Entwicklern anderer bekannter Malware-Familien haben, darunter Broomstick, SocksShell und die Rhysida-Ransomware-Operatoren. Frühere Anschläge richteten sich gegen hochkarätige Ziele wie die Texas Tech University, das Krankenunternehmen DaVita und die Stadt Saint Paul in Minnesota.
Diese Entdeckung zeigt einen besorgniserregenden Trend: Cyberkriminelle setzen zunehmend auf generative KI, um Malware-Entwicklung zu beschleunigen und gleichzeitig bestehende Sicherheitsmaßnahmen zu umgehen. Obwohl Slopoly selbst relativ simpel ist, unterstreicht sein Einsatz in professionellen Ransomware-Kampagnen, dass KI-Tools bereits aktiv von Bedrohungsakteuren eingesetzt werden.