Les chercheurs en cybersécurité ont identifié un nouveau malware baptisé Slopoly qui, selon les indices trouvés dans votre code, semble avoir été créé à l'aide de l'intelligence artificielle. Cette constatation, documentée par l'équipe d'IBM X-Force et partagée avec des médias spécialisés, remplace sur la table la façon dont les outils de génération automatique de code accélèrent la capacité des criminels de fabriquer et de déployer des logiciels malveillants.
Le groupe qui a utilisé cette composante, connue sous le nom de Hive0163, n'est pas nouveau dans le paysage du crime numérique : ses opérations se concentrent sur l'extorsion par le vol massif de données et le déploiement de ransomware. Dans les campagnes précédentes, ils ont été liés à des familles et des outils tels que NodeSnake, Interlock RAT et chargeurs qui servent à introduire le reste du catalogue malveillant dans les réseaux touchés. Dans le cas le plus récent documenté, Slopoly est apparu dans la phase post-opération, maintenant l'accès persistant à un serveur compromis pendant plus d'une semaine.
D'un point de vue technique, Slopoly est présenté comme un script PowerShell qui est probablement généré par un « constructeur » qui facilite son déploiement et sa personnalisation. Le mécanisme de persistance observé crée une tâche programmée avec le nom "Runtime Broker", et le malware agit comme une porte arrière complète: il envoie des battements d'information système à un serveur de commande et de contrôle à chaque fois, consulte les commandes distantes et les fait passer par l'interprète système, en retournant les résultats à l'opérateur. Ces capacités permettent à un attaquant d'exécuter des ordres arbitraires et de maintenir une communication constante avec l'équipe engagée.
Ce qui a amené les chercheurs à soupçonner la participation d'un grand modèle de langue (LLM) sont des éléments du code lui-même : commentaires explicatifs abondants, enregistrement d'événements, gestion des erreurs et noms de variables particulièrement descriptives. Même dans la documentation de script interne, l'étiquette « Client persistant C2 polymorphe », qui suggère l'intention de créer un client C2 avec des fonctionnalités polymorphes, apparaît. Cependant, selon les analystes, la pièce ne met pas en œuvre des techniques avancées d'autoréparation ou de modification dynamique du code en cours d'exécution; plutôt, le constructeur pourrait générer des variantes avec des noms et des valeurs randomisées, une pratique déjà courante parmi les créateurs de logiciels malveillants pour échapper aux signatures statiques.
La chaîne de l'attaque est décrite d'une manière compatible avec d'autres cas attribués au même groupe : l'intrusion initiale est généralement réalisée par la tromperie sociale et le dumping (y compris une tactique appelée « ClickFix » qui incite la victime à exécuter des commandes PowerShell). Ce premier composant facilite l'exécution de NodeSnake, conçu pour exécuter des commandes shell, établir la persistance et télécharger un cadre plus large - Interlock - qui est disponible dans plusieurs implémentations (PowerShell, PHP, C / C +, Java, JavaScript) pour affecter les systèmes Windows et Linux. À partir de ce cadre, vous pouvez activer l'accordage SOCKS5, les coquillages inversés et la livraison de charges utiles supplémentaires telles que Ransomware ou Slopoly.
L'émergence de Slopoly ajoute à d'autres indications que les acteurs malveillants profitent de l'AI pour accélérer le développement et la prolifération d'outils offensifs. L'analyse d'IBM X-Force indique que, bien que ces programmes ne fournissent pas toujours de nouvelles techniques, ce qui change est la vitesse et l'accessibilité: un opérateur avec moins d'expertise peut produire et adapter le code fonctionnel en fractions du temps précédemment requis.
Qu'est-ce que cela signifie pour les organisations et les équipes de sécurité? Premièrement, que les défenses traditionnelles restent pertinentes - segmentation du réseau, sauvegarde régulière et vérifiable, contrôle des exécutables et des correctifs - mais il est maintenant encore plus crucial de renforcer la surveillance du comportement et de la télémétrie. Parmi les mesures spécifiques qui aident à réduire les risques, mentionnons l'activation de l'enregistrement PowerShell avancé et l'inspection des scripts de paramètres, la surveillance des tâches planifiées inhabituelles (comme la création de «Runtime Broker» qui ne provient pas d'une installation légitime), la limitation des permis d'exécution et le contrôle du trafic sortant vers des serveurs C2 suspects. Les solutions EDR et les politiques de filtrage d'évacuation sont particulièrement utiles pour détecter les balises et les canaux de contrôle et de contrôle.
Au-delà de la réponse technique, ce scénario exige une approche coordonnée entre les entreprises, les fournisseurs de technologie et les régulateurs. Il est nécessaire d'investir dans la détection fondée sur le comportement, de partager des indicateurs d'engagement fiables entre les différentes organisations et d'adapter les processus d'intervention en cas d'incident au nouveau rythme auquel les menaces sont générées. La collectivité de la sécurité peut également bénéficier de cadres et de guides pour la gestion des risques associés à l'IV, comme ceux proposés par les organismes gouvernementaux dans les domaines de la gouvernance et de la gestion des risques technologiques.
Pour poursuivre l'analyse technique et les recommandations d'atténuation, le rapport initial IBM X-Force fournit un dossier détaillé sur la Slovaquie et le contexte connexe: IBM X-Force - Slovaque: début d'attaques de ransomware renforcées par Aiti. Pour un aperçu du risque posé par Ransomware et les bonnes pratiques de protection, l'Agence américaine pour l'infrastructure et la cybersécurité. UU maintient des guides pratiques sur son portail: CISA - Lignes directrices sur les ransomwares. Enfin, pour comprendre la dimension politique et de gestion des risques de l'IV elle-même, le cadre et les recommandations du NIST constituent une ressource utile : NIST - Cadre de gestion des risques de l'IA.
L'arrivée de Slopoly confirme une tendance que les défenseurs ne peuvent se permettre d'ignorer : l'intelligence artificielle non seulement potentialise des solutions légitimes, mais réduit également les obstacles à l'évolution de la criminalité numérique. À la lumière de cela, la réponse doit combiner technologie, meilleures pratiques organisationnelles et coopération entre acteurs publics et privés parce que la vitesse de développement que l'IV permet nécessite la même vitesse de détection, de réponse et de prévention.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...
Clé jaune L'échec BitLocker qui pourrait permettre à un attaquant de déverrouiller votre unité avec seulement un accès physique
Microsoft a publié une atténuation pour une vulnérabilité d'omission de sécurité BitLocker Clé jaune (CVE-2026-45585) après que son test de concept ait été divulgué publiquement...