IBMが公表したレポートによると、ランサムウェアシンジケートが人工知能の実験を開始しました。専門家たちはSlopolyと名付けられた特異なマルウェア株を発掘しました。そのコードベースの法医学的精査は、スクリプトが大規模言語モデルによってオーケストレーションされたことを強く示唆しています。プログラムのアーキテクチャの複雑さは控えめですが、それは急速に増加する問題を浮き彫りにしています。悪意のある手段の製造がより迅速で、より入手しやすくなったのです。
Slopolyは2026年初頭、Hive0163として知られている集団が先導したランサムウェア侵害の調査中に特定されました。このグループは恐喝とデータ流出の悠久の歴史を持っており、Interlockランサムウェアを、NodeSnake、InterlockRAT、JunkFictionローダーを含むカスタムアーセナルと共に利用することで知られています。
SlopolyはPowerShellスクリプトとして現れ、指令・統制(C2)アーキテクチャのクライアントとして機能しました。コードは基本的なシステムテレメトリを収集し、30秒ごとに敵対者のサーバーに「ビーコン」を配信しました。50秒間隔で、プログラムは新しい命令をクエリし、その後cmd.exeを介して実行してから、結果を送信元に送り返しました。
コードベースは言語モデル生成に特有の特徴を示していました。多数のコメント、綿密なエラーハンドリング、および几帳面な変数命名法です。そのような注釈の1つはプログラムを「多形C2永続化クライアント」と説明しました。実行中にコードが独自のロジックを変化させることはできません。むしろ、生成器は単にランダム化されたパラメータと関数名を持つクライアントの異なるバージョンを合成したようです。
初歩的な技術レベルにもかかわらず、SlopolyはHive0163が1週間以上システムの支配を維持することを可能にしました。この期間中に実行された特定のコマンドは依然として謎に包まれています。ただし、そのようなツールの展開は、犯罪界のAI生成コードに対する関心の高まりを明らかに示しています。
侵害はClickFixとして知られるソーシャルエンジニアリング戦術を通じて発生しました。被害者にはCAPTCHAを模倣する欺瞞的な「確認」ページが提示され、これは悪意のあるスクリプトをシステムクリップボードに密かに注入しました。その後、ユーザーは一連のキーストロークの実行を強制されました。Win+R、Ctrl+V、そしてEnterです。事実上、PowerShellコマンドを手動でトリガーしました。
感染の第一段階はNodeSnakeを含みました。これはC2インフラストラクチャのNode.jsベースのコンポーネントです。NodeSnakeは補助ファイルの取得、シェルコマンド実行、および永続化の確立を促進します。その後、敵対者はInterlockRATを展開しました。これはリバースシェルとSOCKS5トンネリングをサポートするより強力なバックドアであり、秘密のネットワークアクセスに使用されます。
これらのツールを通じて、Hive0163はSlopolyの展開をAzCopyやAdvanced IP Scannerなどのユーティリティと共にオーケストレーションし、Interlockランサムウェアの起動に至りました。エンクリプターは論理ドライブを走査し、システムディレクトリをバイパスしてOpenSSLライブラリを介してAESおよびRSA暗号でファイルを隠します。暗号化されたファイルには.!NT3RLOCKまたは.int3R1Ockなどの拡張機能が付加され、FIRST_READ_ME.txtというタイトルの身代金要求が伴います。
IBMは、Hive0163が搾取後の操作を専門としており、長期的な存在と大規模なデータ流出のためのプロプライエタリなバックドアを活用していると主張しています。Slopolyは技術的には単純なままですが、その出現は、人工知能が開発サイクルを劇的に短縮する同期における変革的なエポックを示唆しています。業界は現在、新しい現実に直面しています。AI生成スクリプトの時代は、悪意のあるエンティティがAIを使用してリアルタイムの意思決定と攻撃インフラストラクチャの自律テストを行う時代の前兆に過ぎません。
