IBM X‑Force hat eine neue PowerShell-basierte Backdoor namens Slopoly analysiert, die mit hoher Wahrscheinlichkeit mithilfe generativer KI entwickelt wurde. Der Schadcode wurde im Rahmen einer mehrstufigen Kampagne eingesetzt, in der die Interlock-Ransomware zum finalen Angriffsschritt diente und Angreifern über eine Woche unbemerkte Präsenz in der Infrastruktur des Opfers ermöglichte.
Slopoly als PowerShell-Backdoor und C2-Client
Slopoly ist ein PowerShell-Skript, das als Client für eine Command-and-Control-(C2)-Infrastruktur fungiert. Es wird typischerweise in einem späten Stadium der Kompromittierung ausgerollt und dient der persistenten Fernsteuerung infizierter Systeme. Die Kampagne wird der finanziell motivierten Gruppe Hive0163 zugeordnet, die auf Erpressung, Datendiebstahl und den Einsatz verschiedener Ransomware-Familien spezialisiert ist.
Der Code weist mehrere Indikatoren für den Einsatz einer großen Sprachmodell-KI (LLM) auf: ausführliche und konsistente Kommentare, sauberes Logging, standardisierte Fehlerbehandlung und einheitliche, aussagekräftige Variablennamen. Solch „entwicklerreifer“ Code ist für klassisch manuell erstellte Malware dieser Art untypisch und deutet auf automatisierte Code-Generierung hin.
Obwohl Slopoly im Kommentar als „Polymorphic C2 Persistence Client“ beworben wird, fanden die Analysten keine echte Polymorphie zur Laufzeit. Stattdessen erzeugt ein Builder verschiedene Varianten desselben Skripts, indem Konfigurationswerte und Funktionsnamen randomisiert werden. Diese einfache Variabilität erschwert signaturbasierte Erkennung, erreicht aber nicht das Niveau echter, sich selbst modifizierender Malware.
Angriffskette: Social Engineering, ClickFix und Persistenz
Der initiale Zugriff auf die Opferumgebung erfolgte über Social-Engineering-Techniken, insbesondere die Methode ClickFix. Nutzer werden dabei mit scheinbar legitimen Anweisungen zur „Fehlerbehebung“ dazu gebracht, mehrere Schritte auszuführen, die schlussendlich in der Ausführung von Schadcode enden. Verwandte Varianten wie FileFix nutzen denselben Vertrauensvorschuss gegenüber vermeintlichen Support-Hinweisen.
Nach erfolgreichem Erstzugang wurde Slopoly im Verzeichnis C:\ProgramData\Microsoft\Windows\Runtime\ abgelegt und über eine geplante Aufgabe mit dem Tarnnamen „Runtime Broker“ dauerhaft verankert. Die Nachahmung legitimer Windows-Komponenten senkt die Wahrscheinlichkeit manueller Entdeckung erheblich, insbesondere in Umgebungen ohne konsequentes EDR/XDR-Monitoring.
Im Betrieb sammelt Slopoly Systeminformationen und hält einen regelmäßigen Kontakt zum C2-Server: Heartbeat-Anfragen etwa alle 30 Sekunden und Befehlsabfragen rund alle 50 Sekunden. Erhaltene Anweisungen werden über cmd.exe ausgeführt, Resultate anschließend zurückübermittelt. Unterstützt werden unter anderem Download und Ausführung von EXE-, DLL- und JavaScript-Payloads, das Ausführen beliebiger Shell-Kommandos, das Anpassen der Abfrageintervalle, Selbstaktualisierung sowie das kontrollierte Beenden der Backdoor.
Interlock-Ransomware, NodeSnake und mehrstufige C2-Infrastruktur
Slopoly agierte nicht isoliert. In betroffenen Umgebungen wurden weitere Remote-Access-Werkzeuge wie NodeSnake und InterlockRAT beobachtet. Diese mehrschichtige C2-Architektur erhöht die Ausfallsicherheit der Kampagne und erlaubt es Angreifern, flexibel zwischen verschiedenen Zugriffskanälen und Toolsets zu wechseln.
Die eigentliche Verschlüsselung übernahm die Interlock-Ransomware, ausgeliefert über den Loader JunkFiction als 64‑Bit-Windows-Binary. Interlock kann als geplante Aufgabe mit SYSTEM-Rechten ausgeführt werden, wodurch Angreifer Zugriff auf besonders sensible Dateien erhalten. Zur Maximierung der Verschlüsselungsrate nutzt Interlock die Windows Restart Manager API, um von anderen Prozessen gesperrte Dateien zu entsperren. Verschlüsselte Dateien werden mit den Erweiterungen .!NT3RLOCK oder .int3R1Ock versehen, was sowohl als Indikator einer Kompromittierung (IoC) als auch als „Branding“ der Ransomware dient.
Generative KI als Beschleuniger moderner Malware
Slopoly steht exemplarisch für den Trend, dass generative KI den Einstieg in die Malware-Entwicklung erleichtert. Sprachmodelle liefern in Sekunden strukturierten, gut dokumentierten und funktional korrekten Code, wodurch auch vergleichsweise wenig versierte Akteure professioneller wirkende Werkzeuge bauen können. Branchenberichte, etwa von IBM X‑Force und ENISA, weisen seit geraumer Zeit auf diesen Wandel hin.
In Kombination mit einem automatisierten Builder und einer ausgereiften C2- und Ransomware-Infrastruktur – inklusive möglicher Verbindungen zu Projekten wie Broomstick, SocksShell, PortStarter, SystemBC und Rhysida – wird deutlich, dass Gruppen wie Hive0163 eine hohe organisatorische Reife erreicht haben. Die Angriffe werden dadurch skalierbarer, anpassungsfähiger und schwerer vorhersehbar.
Risiken für Organisationen und empfohlene Sicherheitsmaßnahmen
Das zentrale Risiko solcher Kampagnen ist das langfristige, verdeckte Eindringen in Netzwerke, kombiniert mit Datendiebstahl und anschließender Verschlüsselung. Selbst wenn die Ausführung der Ransomware in einem späten Stadium gestoppt wird, bleiben bereits exfiltrierte Daten als Grundlage für doppelte Erpressung (Datenleak + Entschlüsselung) bestehen.
Unternehmen sollten daher mehrere Verteidigungslinien stärken. Dazu gehören gezielte Sensibilisierungstrainings zu Social Engineering und Mustern wie ClickFix, ein restriktiver Umgang mit PowerShell (z.B. AppLocker/WDAC-Regeln, Constrained Language Mode, zentrale Protokollierung und Auswertung von Skriptaktivitäten) sowie ein systematisches Monitoring geplanter Aufgaben und verdächtiger Pfade wie C:\ProgramData\Microsoft\Windows\Runtime\.
Moderne EDR-/XDR-Lösungen helfen, untypische C2-Heartbeats, verdächtige cmd.exe-Aufrufe und massenhafte Dateioperationen zu erkennen, wie sie für Ransomware-Phasen typisch sind. Ergänzend sind regelmäßig getestete Backups, konsequente Netzsegmentierung und zeitnahe Sicherheitsupdates entscheidend, um die Auswirkungen erfolgreicher Angriffe zu begrenzen.
Slopoly und die Interlock-Ökosphäre machen deutlich, dass generative KI bereits fester Bestandteil des Werkzeugkastens von Cyberkriminellen ist. Organisationen sollten dieses Szenario in ihre Bedrohungsmodelle integrieren, die Überwachung von Skript- und C2-Aktivitäten ausbauen und ihre Incident-Response-Prozesse kontinuierlich schärfen. Wer frühzeitig in Detection & Response investiert und Mitarbeitende wie Infrastruktur gleichermaßen stärkt, reduziert das Risiko langanhaltender Ausfälle, schwerer Datenlecks und hoher Erpressungszahlungen signifikant.
