Исследователи IBM X-Force обнаружили новый вредоносный PowerShell-бэкдор Slopoly, который, по их оценке, с высокой вероятностью был создан с использованием генеративного искусственного интеллекта. Этот инструмент применялся в многоэтапной атаке с участием шифровальщика Interlock, позволив злоумышленникам более недели незаметно находиться в инфраструктуре жертвы, собирать данные и готовить этап вымогательства.
Slopoly: PowerShell-бэкдор, сгенерированный языковой моделью
Slopoly представляет собой PowerShell-скрипт, работающий как клиент для C2-фреймворка (command-and-control). Он развертывается в системе жертвы на поздних этапах атаки и обеспечивает злоумышленникам устойчивый удалённый доступ. Исследователи связывают кампанию с финансово мотивированной группировкой Hive0163, которая специализируется на вымогательстве, массовом похищении данных и использовании различных семейств шифровальщиков.
При анализе кода специалисты IBM X-Force выявили несколько характерных признаков того, что скрипт мог быть сгенерирован большой языковой моделью (LLM): подробные, хорошо структурированные комментарии, аккуратное логирование, единообразная и продуманная обработка ошибок, понятные и стандартизированные имена переменных. Для типичной «ручной» малвари подобное качество оформления кода нетипично и требует заметно больше времени разработки.
Несмотря на маркетинговое описание в комментариях как «Polymorphic C2 Persistence Client», эксперты не обнаружили у Slopoly настоящих полиморфных возможностей — скрипт не умеет менять собственный код во время выполнения. Вместо этого билдер, который его генерирует, может создавать различные варианты с рандомизированными конфигурационными значениями и именами функций. Эта примитивная вариативность затрудняет сигнатурное обнаружение, но не делает вредонос по-настоящему полиморфным.
Механика атаки: от социальной инженерии до развертывания шифровальщика
Атака начиналась с социальной инженерии с использованием методики ClickFix. Пользователя подталкивали выполнить ряд действий под предлогом «исправления» проблемы, что в итоге приводило к запуску вредоносного кода. Аналитики также отмечают использование родственных техник, подобных FileFix, которые эксплуатируют доверие к якобы легитимным инструкциям по устранению неполадок.
После первоначального проникновения злоумышленники развертывали в системе бэкдор Slopoly, скрывая его по пути C:\ProgramData\Microsoft\Windows\Runtime\ и закрепляя присутствие через запланированную задачу с именем «Runtime Broker». Подобная маскировка имитирует легитимные компоненты Windows и усложняет ручное обнаружение администратором.
Slopoly собирает базовую информацию о системе и регулярно взаимодействует с управляющим сервером: отправляет heartbeat-запросы каждые 30 секунд и опрашивает C2 на наличие новых команд примерно раз в 50 секунд. Полученные инструкции выполняются через cmd.exe, а результаты передаются операторам.
Набор поддерживаемых команд включает загрузку и запуск EXE, DLL и JavaScript-пейлоадов, выполнение произвольных команд оболочки, изменение интервалов опроса, обновление самого бэкдора и завершение его процесса. Такой функционал делает Slopoly универсальным «транспортом» для дальнейших инструментов и шифровальщика.
Инфраструктура Interlock: NodeSnake, InterlockRAT и JunkFiction
В выявленной кампании бэкдор Slopoly использовался не изолированно. В инфраструктуре жертв также были обнаружены другие инструменты удалённого доступа, такие как NodeSnake и InterlockRAT. Многоуровневая C2-инфраструктура повышает устойчивость атаки и позволяет операторам гибко переключаться между различными каналами управления.
Шифровальщик Interlock доставлялся через загрузчик JunkFiction в виде 64-битного исполняемого файла для Windows. Он мог запускаться как запланированная задача с правами SYSTEM, что обеспечивало максимальный уровень привилегий и доступ к критически важным файлам.
Для повышения эффективности шифрования Interlock использует Windows Restart Manager API, позволяя разблокировать файлы, которые в данный момент используются другими процессами. После шифрования к именам файлов добавляются расширения .!NT3RLOCK или .int3R1Ock, что служит одновременно индикатором компрометации и элементом «бренда» вымогателей.
Генеративный ИИ как новый инструмент киберпреступников
Случай Slopoly иллюстрирует более широкий тренд: генеративный ИИ снижает порог входа в разработку вредоносного ПО. Языковые модели позволяют быстрее создавать структурированный, читаемый и в целом «инженерно грамотный» код, даже если его функциональность остаётся относительно простой. Это повышает качество инструментария даже у тех групп, которые ранее могли опираться на более грубые и легко обнаруживаемые скрипты.
Хотя Slopoly нельзя назвать технически сложной малварью, сочетание ИИ-сгенерированного кода, автоматизированного билдера и развитой инфраструктуры Interlock делает такие атаки более масштабируемыми и труднее предсказуемыми. По данным исследователей, Hive0163 может быть связана с разработчиками других вредоносов, включая Broomstick, SocksShell, PortStarter, SystemBC, а также с операторами шифровальщика Rhysida, что подчёркивает уровень их организационной зрелости.
Риски для организаций и ключевые меры защиты
Основная опасность подобных кампаний — длительное скрытое присутствие злоумышленников в сети, совмещённое с кражей конфиденциальных данных и последующим шифрованием критически важных ресурсов. Даже если шифровальщик будет заблокирован на финальном этапе, предварительно похищенные данные остаются инструментом давления и двойного вымогательства.
Организациям рекомендуется усилить защиту по нескольким направлениям. Во‑первых, обучение сотрудников методам социальной инженерии и распознаванию сценариев ClickFix и подобных им. Во‑вторых, жёсткий контроль PowerShell: использование AppLocker, WDAC, ограниченного режима (Constrained Language Mode), а также централизованное логирование и анализ скриптовой активности.
Важным элементом является мониторинг аномалий в запланированных задачах и проверка подозрительных путей, таких как C:\ProgramData\Microsoft\Windows\Runtime\. Современные EDR/ XDR-решения помогают выявлять регулярные heartbeat-сессии с C2, нетипичный запуск cmd.exe и массовые операции с файлами, характерные для шифровальщиков.
Необходимо также поддерживать регулярные тестируемые резервные копии, сетевую сегментацию и оперативное внедрение обновлений безопасности. Это не исключает риск атаки, но значительно ограничивает её последствия и снижает вероятность успешного вымогательства.
Появление Slopoly и развитие экосистемы Interlock демонстрируют, что генеративный ИИ уже стал частью арсенала киберпреступников. Организациям важно учитывать этот фактор в моделях угроз, усиливать мониторинг скриптовой активности и C2-коммуникаций и системно инвестировать в повышение киберустойчивости. Чем раньше будут выстроены процессы обнаружения и реагирования, тем меньше шансов, что подобные кампании приведут к долгосрочному простою, утечкам данных и крупным финансовым потерям.
