AI-generated Slopoly malware used in Interlock ransomware attack

1 minute de lecture

Mis à jour : March 13, 2026

L’émergence de Slopoly : un malware généré par IA au service du ransomware Interlock

Le groupe cybercriminel Hive0163 utilise désormais « Slopoly », un backdoor PowerShell conçu par intelligence artificielle, pour faciliter les attaques de type ransomware Interlock. Ce malware, bien qu’élémentaire, illustre la tendance croissante des attaquants à utiliser des modèles de langage (LLM) pour accélérer le développement de composants malveillants et contourner la détection.

Points clés :

Vecteur initial : L’intrusion commence par une technique d’ingénierie sociale de type « ClickFix ».
Rôle du malware : Slopoly sert de client de contrôle et commande (C2), assurant la persistance sur le serveur compromis et permettant l’exécution de charges utiles distantes (EXE, DLL, JS).
Usage de l’IA : Le code présente des caractéristiques atypiques pour un malware humain : commentaires exhaustifs, journalisation structurée et nommage explicite des variables. Contrairement aux allégations internes du code, il n’est pas réellement polymorphe.
Persistence : Le malware s’installe via une tâche planifiée nommée « Runtime Broker » dans le répertoire C:\ProgramData\Microsoft\Windows\Runtime\.

Vulnérabilités : Aucune CVE spécifique n’est exploitée pour le fonctionnement de Slopoly. L’attaque repose sur l’exploitation humaine (ingénierie sociale) et l’exécution de scripts PowerShell autorisés par le système, couplée à l’utilisation de tâches planifiées pour maintenir l’accès.

Recommandations :

Sensibilisation : Former les utilisateurs aux tactiques de « ClickFix » où les attaquants incitent les victimes à copier/coller des commandes malveillantes dans leur terminal.
Surveillance des tâches planifiées : Auditer régulièrement les tâches planifiées sur les serveurs, en particulier celles créées sous des noms système suspects (comme « Runtime Broker »).
Contrôle PowerShell : Restreindre l’exécution de scripts PowerShell via des stratégies de groupe (AppLocker ou WDAC) et activer la journalisation approfondie des blocs de script PowerShell (Script Block Logging).
Analyse comportementale : Détecter les balises réseau (beacons) régulières (toutes les 30-50 secondes) vers des adresses inconnues, signature typique de l’activité du malware Slopoly.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

AI-generated Slopoly malware used in Interlock ransomware attack

L’émergence de Slopoly : un malware généré par IA au service du ransomware Interlock

Partager sur

Vous pourriez aimer

Veeam Patches 7 Critical Backup & Replication Flaws Allowing Remote Code Execution

Vulnérabilités critiques dans Veeam Backup & Replication

Storm-2561 Spreads Trojan VPN Clients via SEO Poisoning to Steal Credentials

Campagne de vol d’identifiants VPN par Storm-2561 via SEO Poisoning

Starbucks discloses data breach affecting hundreds of employees

Violation de données chez Starbucks : 889 comptes employés compromis

RIP RegPwn

RegPwn : Élévation de privilèges via les fonctionnalités d’accessibilité Windows