Die Analyse des PowerShell-Skripts durch IBM X-Force lieferte starke Hinweise darauf, dass die Schadsoftware mit einem großen Sprachmodell (LLM) erstellt wurde. Welches Modell genau zum Einsatz kam, ließ sich allerdings nicht bestimmen. Für eine KI-gestützte Entwicklung sprechen unter anderem die ausführlichen Kommentare im Code, eine strukturierte Protokollierung, sauberes Fehlerhandling sowie klar benannte Variablen – Merkmale, die in von Menschen geschriebener Malware selten vorkommen.
Trotz dieser auffälligen Machart bleibt Slopoly technisch unspektakulär. Zwar bezeichnen Kommentare im Skript das Programm als “polymorphen C2-Persistenz-Client”, doch IBM X-Force fand keine Funktion, die es der Software erlauben würde, ihren eigenen Code während der Ausführung zu verändern. “Das Skript verfügt über keinerlei fortgeschrittene Techniken und kann kaum als polymorph gelten, da es seinen eigenen Code zur Laufzeit nicht verändern kann”, heißt es im Bericht. Der Builder könne jedoch neue Clients mit unterschiedlich randomisierten Konfigurationswerten und Funktionsnamen erzeugen – ein bei Malware-Buildern übliches Vorgehen.
Nach Einschätzung der Forscher wurde Slopoly von einem solchen Builder generiert, der Konfigurationswerte wie Beaconing-Intervalle, C2-Adressen, Mutex-Namen und Session-IDs einfügte. Die Malware wird im Verzeichnis C:\ProgramData\Microsoft\Windows\Runtime\ abgelegt. Über ihre Befehle lassen sich EXE-, DLL- oder JavaScript-Payloads herunterladen und ausführen, Shell-Kommandos absetzen und deren Ergebnisse zurückgeben, Beaconing-Intervalle ändern, die Schadsoftware selbst aktualisieren oder ihren Prozess beenden.
Der von IBM beobachtete Angriff begann mit einem ClickFix-Ablauf und setzte neben Slopoly weitere Komponenten ein, darunter die Backdoors NodeSnake und InterlockRAT. Die Interlock-Ransomware trat 2024 erstmals in Erscheinung und gehörte zu den frühen Anwendern der ClickFix-Technik, später auch der Variante FileFix. Die Gruppe hat zuvor Angriffe auf prominente Organisationen für sich reklamiert, unter anderem das Texas Tech University System, DaVita, Kettering Health und die Stadt Saint Paul in Minnesota.
Die in den von IBM gemeldeten Angriffen beobachtete Interlock-Payload ist eine 64-Bit-Windows-Datei, die über den Loader JunkFiction ausgeliefert wird. Sie kann als geplante Aufgabe mit SYSTEM-Rechten laufen, nutzt die Windows-Restart-Manager-API, um gesperrte Dateien freizugeben, und versieht die verschlüsselten Kopien mit den Endungen “.!NT3RLOCK” oder “.int3R1Ock”. Laut IBM könnte Hive0163 zudem Verbindungen zu den Entwicklern hinter Broomstick, SocksShell, PortStarter, SystemBC sowie zu den Betreibern der Rhysida-Ransomware aufweisen.
