2026年初頭、IBM X-Forceの研究者たちは「Slopoly」と呼ばれるAI生成の可能性が高い新しいマルウェアフレームワークを特定しました。
この発見は、Hive0163による積極的なランサムウェア活動中に行われました。Hive0163は経済的動機を持つサイバー犯罪グループであり、大規模なデータ流出とInterlockランサムウェアの配備で知られています。
Slopolyの出現は、サイバーセキュリティの脅威環境における重大な変化を強調しており、脅威行為者がいかに容易に人工知能を活用して新しい悪意のあるツールを迅速に開発・配備できるかを示しています。
スクリプト自体は比較的単純ですが、一時的でAI駆動型のマルウェアの将来に対する危険な概念実証として機能します。
侵入はClickFixとして知られるソーシャルエンジニアリング手法から始まります。この方法は、偽のCAPTCHA風検証ページを提示することで、ユーザーに悪意のあるPowerShellスクリプトを実行させることをだまします。
被害者はスクリプトを直接Windowsの「ファイル名を指定して実行」ダイアログにコピー&ペーストするよう促され、攻撃者に最初の足がかりを与えます。
Hive0163は高度に組織化された脅威行為者であり、侵害後の活動を専門とし、企業環境への長期的なアクセスを容易にするために複数のカスタムバックドアを操作しています。
アクセスが確保されると、攻撃者はNodeJS ベースのマルウェアであるNodeSnakeを配備し、その後、InterlockRATとして知られるより機能的なJavaScriptバックドアを配備します。攻撃チェーンの後期段階において、Hive0163がSlopolyを導入します。
Slopolyの発見は「一時的なマルウェア」が支配する時代の夜明けを告げています。生成AIはコード記述の時間とコストを劇的に削減するため、脅威行為者は現在、使い捨てで単回使用のマルウェア亜種をその場で生成することができます。
これは防御の方程式を根本的に変えます。歴史的に、脅威インテリジェンスはマルウェアを分析して攻撃を特定のグループに帰属させ、その能力を評価することに依存してきました。
悪意のあるスクリプトが容易に大量製造され、攻撃ごとに一意である場合、署名ベースの検出と従来の帰属はかなり困難になります。
Hive0163およびSlopolyのようなAI生成マルウェアの増大する脅威に対抗するために、組織は以下の技術的軽減策を採用し、特定の侵害の指標を監視する必要があります。
翻訳元: https://cyberpress.org/slopoly-tied-to-hive0163/