Investigadores de IBM X-Force han identificado un nuevo backdoor PowerShell, denominado Slopoly, que con alta probabilidad ha sido creado con ayuda de inteligencia artificial generativa. Este componente forma parte de una cadena de ataque que culmina con el despliegue del ransomware Interlock y ha permitido a los atacantes mantener acceso sigiloso a la red de la víctima durante más de una semana, exfiltrar información y preparar una fase de extorsión.
Slopoly: backdoor PowerShell como cliente C2 generado por IA
Slopoly es un script PowerShell que actúa como cliente de un framework de mando y control (C2). Se despliega en etapas avanzadas del compromiso para proporcionar acceso remoto persistente a los operadores. IBM atribuye esta campaña al grupo con motivación financiera Hive0163, especializado en robo masivo de datos y operaciones de ransomware con distintos linajes.
El análisis de código revela indicios claros de que Slopoly fue producido mediante una gran modelo de lenguaje (LLM): comentarios extensos y coherentes, registro de eventos cuidadosamente implementado, manejo uniforme de errores y nombres de variables descriptivos y consistentes. Este nivel de pulido es poco habitual en malware escrito manualmente “ad hoc” y apunta a la automatización del desarrollo con IA generativa, una tendencia que organismos como ENISA y diversos informes de la industria señalan como emergente en los últimos años.
Aunque el propio script se describe en los comentarios como “Polymorphic C2 Persistence Client”, los investigadores no han encontrado capacidades polimórficas reales en tiempo de ejecución. El builder que genera Slopoly introduce variaciones sencillas (nombres de funciones y valores de configuración aleatorios) para evadir firmas estáticas, pero no se trata de polimorfismo avanzado, sino de una ofuscación básica.
Cadena de ataque: de la ingeniería social ClickFix al ransomware Interlock
La intrusión se inicia mediante técnicas de ingeniería social tipo ClickFix, en las que al usuario se le guía paso a paso para “solucionar” un problema inexistente, hasta lograr que ejecute código malicioso. Variantes como FileFix explotan el mismo principio: aprovechar la confianza del usuario en instrucciones aparentemente legítimas de soporte técnico.
Una vez obtenida la primera ejecución, los atacantes despliegan Slopoly y lo ocultan en la ruta C:\ProgramData\Microsoft\Windows\Runtime\, reforzando la persistencia mediante una tarea programada con el nombre “Runtime Broker”, imitando componentes nativos de Windows y dificultando su detección manual por parte de administradores.
Capacidades de Slopoly como vector de acceso remoto
Slopoly recoge información básica del sistema y se comunica periódicamente con el servidor C2: envía heartbeats aproximadamente cada 30 segundos y consulta nuevas órdenes cada unos 50 segundos. Las instrucciones recibidas se ejecutan a través de cmd.exe y los resultados se devuelven a los operadores.
Entre las funciones soportadas destacan la descarga y ejecución de payloads EXE, DLL y JavaScript, la ejecución de comandos arbitrarios de consola, el cambio de intervalos de sondeo, la actualización del propio backdoor y su autoapagado. Esto convierte a Slopoly en un “transporte” versátil para herramientas adicionales y, en última instancia, para el ransomware Interlock.
Infraestructura Interlock: NodeSnake, InterlockRAT y JunkFiction
En las redes comprometidas no solo se ha observado Slopoly. Los investigadores identificaron también otros RAT (Remote Access Tools) como NodeSnake e InterlockRAT, desplegados sobre una infraestructura C2 en varias capas. Esta redundancia incrementa la resiliencia del ataque y permite a los operadores cambiar de canal de control si alguno es detectado o bloqueado.
El ransomware Interlock se entrega mediante el loader JunkFiction como binario de 64 bits para Windows. Puede ejecutarse como tarea programada con privilegios SYSTEM, lo que facilita el acceso a archivos críticos y recursos protegidos. Para maximizar el impacto, Interlock utiliza la API Windows Restart Manager, que le permite liberar archivos actualmente en uso por otros procesos y asegurar su cifrado.
Tras el cifrado, los ficheros reciben extensiones distintivas como .!NT3RLOCK o .int3R1Ock, que actúan tanto como indicador de compromiso como elemento de “marca” del grupo. De acuerdo con informes como el Verizon Data Breach Investigations Report, el ransomware sigue situándose entre las amenazas más disruptivas, combinando a menudo cifrado de datos con extorsión doble basada en filtraciones.
Inteligencia artificial generativa como herramienta para cibercriminales
El caso de Slopoly ilustra cómo la inteligencia artificial generativa reduce el umbral de entrada para desarrollar malware funcional y bien estructurado. Los modelos de lenguaje permiten a actores con conocimientos limitados producir código con patrones “profesionales”, lo que complica el análisis y favorece campañas más escalables.
En el ecosistema analizado, el grupo Hive0163 podría estar relacionado con otros desarrollos maliciosos como Broomstick, SocksShell, PortStarter, SystemBC y con operadores del ransomware Rhysida, lo que evidencia una madurez organizativa y una cadena de suministro criminal que reutiliza componentes y experiencia entre familias de malware.
Riesgos para las organizaciones y medidas de ciberseguridad recomendadas
El riesgo principal de estas campañas es el permanente acceso encubierto a la red, sumado al robo de información sensible y al posterior cifrado de sistemas críticos. Incluso si el ransomware es bloqueado en la fase final, los datos ya exfiltrados siguen siendo un arma para la extorsión y el daño reputacional.
Para mitigar este tipo de amenazas, se recomiendan varias líneas de defensa. En primer lugar, formar al personal en reconocimiento de fraudes tipo ClickFix y en buenas prácticas frente a instrucciones técnicas no solicitadas. En segundo lugar, fortalecer el control del uso de PowerShell mediante AppLocker, WDAC, Constrained Language Mode y un registro centralizado y analizado de la actividad de scripts.
Es clave también monitorizar tareas programadas anómalas y rutas sospechosas como C:\ProgramData\Microsoft\Windows\Runtime\. Soluciones EDR/XDR pueden identificar patrones de comportamiento característicos: sesiones periódicas hacia C2, lanzamientos inusuales de cmd.exe y operaciones masivas sobre archivos típicas del ransomware.
El mantenimiento de copias de seguridad probadas, la segmentación de red y la aplicación ágil de parches de seguridad no evitarán todos los ataques, pero reducen significativamente su impacto y la probabilidad de un pago exitoso de rescate. A la vista de casos como Slopoly e Interlock, resulta esencial integrar en los modelos de amenaza el uso de IA generativa por parte de los atacantes, reforzar el monitoreo de scripts y comunicaciones C2 y consolidar capacidades de detección y respuesta. Invertir ahora en ciberresiliencia —personas, procesos y tecnología— es la mejor forma de reducir el riesgo de paradas prolongadas, fugas de datos y pérdidas económicas sustanciales.
