Pesquisadores em cibersegurança identificaram um novo malware batizado como Slopoly que, segundo as pistas encontradas em seu código, parece ter sido criado com a ajuda de uma inteligência artificial. O achado, documentado pela equipe da IBM X-Force e compartilhada com meios especializados, volta a colocar sobre a mesa como as ferramentas de geração automática de código estão acelerando a capacidade dos criminosos para fabricar e implantar software malicioso.
O grupo que utilizou este componente, conhecido como Hive0163, não é novo no panorama do crime digital: suas operações concentram-se na extorsão através do roubo massivo de dados e da implantação de ransomware. Em campanhas anteriores, foram associados a famílias e ferramentas como NodeSnake, Interlock RAT e loaders que servem para introduzir o resto do catálogo malicioso nas redes afetadas. No caso mais recentemente documentado, Slopoly apareceu na fase posterior à exploração, mantendo acesso persistente a um servidor comprometido durante mais de uma semana.
Do ponto de vista técnico, Slopoly apresenta-se como um script de PowerShell que provavelmente é gerado por um “builder” que facilita sua implantação e personalização. O mecanismo de persistência observado cria uma tarefa programada com o nome "Runtime Broker", e o malware atua como uma porta traseira completa: envia batimentos com informações do sistema a um servidor de comando e controle cada certo intervalo, consulta comandos remotos e executa-os através do intérprete do sistema, devolvendo os resultados ao operador. Essas capacidades permitem a um atacante executar ordens arbitrárias e manter comunicação constante com o equipamento comprometido.
O que levou os pesquisadores a suspeitar da participação de um grande modelo de linguagem (LLM) são elementos do próprio código: abundantes comentários explicativos, registro de eventos, manejo de erros e nomes de variáveis especialmente descritivos. Mesmo na documentação interna do script aparece a hashtag "Polymorphic C2 Persistence Client", que sugere a intenção de criar um cliente C2 com traços polimórficos. No entanto, segundo os analistas, a peça não implementa técnicas avançadas de autorreparação ou modificação dinâmica do código em execução; bem, o builder poderia gerar variantes com nomes e valores aleatórios, prática já habitual entre criadores de malware para evitar assinaturas estáticas.
O encadeamento do ataque é descrito de forma coerente com outros casos atribuídos ao mesmo agrupamento: a intrusão inicial costuma ser alcançada por enganos sociais e malvertising (entre eles uma tática referida como "ClickFix" que induz a vítima a executar comandos PowerShell). Esse primeiro componente facilita a execução do NodeSnake, projetado para correr comandos de shell, estabelecer persistência e baixar um framework mais amplo (Interlock) que está disponível em várias implementações (PowerShell, PHP, C/C++, Java, JavaScript) para afetar tanto sistemas Windows como Linux. A partir desse quadro, a tunelização SOCKS5, shells inversos e a entrega de cargas úteis adicionais como ransomware ou Slopoly podem ser ativadas.
O surgimento de Slopoly soma-se a outros indícios de que atores maliciosos estão aproveitando a IA para acelerar o desenvolvimento e a proliferação de ferramentas ofensivas. A própria análise da IBM X-Force sublinha que, apesar de esses programas nem sempre fornecerem técnicas inovadoras, o que mudam é a velocidade e a acessibilidade: um operador com menos perícia pode produzir e adaptar código funcional em fracções do tempo que antes requeria.
O que significa isto para organizações e equipamentos de segurança? Em primeiro lugar, que as defesas tradicionais ainda são relevantes — segmentação de rede, cópias de segurança periódicas e verificáveis, controle de executáveis e adesivos —, mas agora é ainda mais crítico reforçar a vigilância sobre comportamentos e telemetria. Medidas concretas que ajudam a reduzir o risco incluem ativar o registro avançado de PowerShell e a inspeção de scripts em endpoints, monitorar tarefas programadas incomuns (como a criação de "Runtime Broker" que não proceda de uma instalação legítima), limitar permissões de execução e controlar o tráfego cessante para servidores C2 suspeitos. As soluções EDR e as políticas de filtragem de egress são especialmente úteis para detectar beacons e canais de comando e controle.
Para além da resposta técnica, este cenário exige uma abordagem coordenada entre empresas, fornecedores de tecnologia e reguladores. É necessário investir em detecção baseada em comportamento, partilhar indicadores de compromisso fiáveis entre diferentes organizações e adaptar os processos de resposta a incidentes ao novo ritmo em que as ameaças são geradas. A comunidade de segurança também pode beneficiar de quadros e guias para gerir riscos associados à IA, como propostas por organismos oficiais em matéria de governação e gestão de riscos tecnológicos.
Para aprofundar a análise técnica e as recomendações de mitigação, o relatório original da IBM X-Force oferece um dossiê detalhado sobre Slopoly e o contexto associado: IBM X-Force — Slopoly: start of AI-enhanced ransomware attacks. Para um panorama geral sobre o risco que representa o ransomware e boas práticas de proteção, a Agência de Segurança de Infra-estruturas e Cibersegurança dos EUA. A América mantém guias práticas em seu portal: CISA — Ransomware Guidance. Finalmente, para entender a dimensão normativa e de gestão do risco da própria IA, o quadro e recomendações do NIST são um recurso útil: NIST — AI Risk Management Framework.
A chegada de Slopoly confirma uma tendência que os defensores não podem ser capazes de ignorar: a inteligência artificial não só aumenta soluções legítimas, mas também reduz as barreiras para que o crime digital evolucione. Diante disso, a resposta deve combinar tecnologia, melhores práticas organizacionais e cooperação entre atores públicos e privados, porque a velocidade de desenvolvimento que permite a IA exige uma mesma rapidez na detecção, resposta e prevenção.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
YellowKey A falha do BitLocker que poderia permitir a um atacante desbloquear sua unidade com apenas acesso físico
A Microsoft publicou uma mitigação para uma vulnerabilidade de omissão de segurança de BitLocker conhecida como YellowKey (CVE-2026-45585), depois de seu teste de conceito ser d...