Un nuovo scenario si sta delineando nel panorama della sicurezza informatica, e questa volta riguarda l’intelligenza artificiale.
I ricercatori di IBM X-Force hanno individuato un malware inedito, battezzato Slopoly, che presenta caratteristiche compatibili con codice generato da modelli di AI. Non è solo una curiosità tecnica: è un segnale concreto di come le tecnologie più avanzate stiano entrando, sempre più rapidamente, anche negli arsenali del cybercrime.
L’analisi degli esperti ricostruisce una catena d’attacco piuttosto articolata. Tutto parte da tecniche di ingegneria sociale, spesso il punto debole più sfruttato perché fa leva sul fattore umano. In questo caso, gli aggressori hanno utilizzato anche il metodo ClickFix per ottenere l’accesso iniziale ai sistemi.
Una volta superata la prima barriera, entra in gioco Slopoly. Si tratta di uno script PowerShell progettato per funzionare come backdoor, cioè una porta nascosta che consente agli hacker di mantenere il controllo del sistema compromesso. Ed è proprio qui che emerge l’aspetto più interessante: il codice presenta una struttura estremamente ordinata, con commenti dettagliati, gestione degli errori ben definita e nomi delle variabili chiari e coerenti.
Elementi che, secondo i ricercatori, difficilmente si trovano in malware sviluppati manualmente. Al contrario, sono tipici di codice prodotto da modelli linguistici avanzati.
Persistenza silenziosa e controllo remoto
Dal punto di vista operativo, Slopoly non è particolarmente sofisticato, ma risulta comunque efficace. Una volta installato, si nasconde in una directory di sistema per evitare di essere individuato facilmente e crea un’attività pianificata con il nome “Runtime Broker” per garantirsi la persistenza nel tempo.
Il comportamento è quello classico di un malware da controllo remoto: invia segnali periodici al server di comando e controllo ogni 30 secondi e riceve istruzioni a intervalli regolari. I comandi possono includere l’esecuzione di script, il download di file malevoli o l’aggiornamento del malware stesso.
In pratica, il sistema infetto diventa una macchina controllata a distanza, utilizzabile per furti di dati, installazione di ulteriori payload o movimenti laterali nella rete aziendale. In uno dei casi analizzati, gli attaccanti sono riusciti a rimanere all’interno del sistema per oltre una settimana, sottraendo informazioni sensibili senza essere rilevati.
Il ruolo del gruppo Hive0163(www.melablog.it)
Dietro l’operazione ci sarebbe il gruppo cybercriminale Hive0163, già noto per attività legate a ransomware ed estorsioni su larga scala. Il loro obiettivo resta quello più classico: monetizzare l’accesso ai sistemi compromessi, spesso attraverso il furto e la successiva minaccia di pubblicazione dei dati.
Non è escluso che questo gruppo abbia legami con altri ecosistemi malware già noti, come quelli che ruotano attorno a Broomstick, SystemBC o al ransomware Rhysida. Un intreccio che conferma quanto il cybercrime moderno sia organizzato e strutturato, con competenze e strumenti condivisi tra più attori.
Non è sofisticato, ma è un segnale forte
Curiosamente, Slopoly non introduce innovazioni tecniche rivoluzionarie. Non è in grado, ad esempio, di modificare autonomamente il proprio codice durante l’esecuzione, una caratteristica tipica dei malware polimorfici più avanzati. Può essere rigenerato con configurazioni diverse, rendendo più difficile il riconoscimento su larga scala.
Ed è proprio questo il punto chiave: non serve un malware estremamente complesso se la sua produzione diventa rapida, automatizzata e scalabile grazie all’intelligenza artificiale.
L’elemento che preoccupa maggiormente gli esperti non è tanto la pericolosità immediata di Slopoly, quanto il messaggio che porta con sé. Se strumenti di AI possono essere utilizzati per scrivere codice malevolo in modo efficiente e “pulito”, il rischio è un aumento esponenziale del numero di attacchi, anche da parte di attori meno esperti.
