Los investigadores pudieron establecer que la persistencia de los atacantes en los sistemas comprometidos se prolongó durante una semana gracias al funcionamiento automatizado de una herramienta identificada como Slopoly. De acuerdo con información publicada por IBM X-Force, este script, generado mediante inteligencia artificial, permitió a los cibercriminales mantener el acceso prolongado en un servidor objetivo en el marco de una campaña de ransomware.
El equipo de IBM X-Force detalló que Slopoly fue detectado a inicios del año en curso, asociado a un esquema de extorsión coordinado por el grupo Hive0163. Este grupo ya ha estado involucrado en operaciones internacionales de alto impacto mediante el uso del ransomware Interlock, según consignó el medio. Slopoly apareció en formato de script PowerShell y se instaló en un servidor comprometido, contribuyendo a un ataque que combinó la recopilación de datos y la transmisión de esa información a un servidor de control conocido como C2.
IBM X-Force incidió en que el script se comunicaba enviando señales de actividad de manera regular: cada 30 segundos alertaba de movimiento y cada 50 segundos solicitaba la emisión de nuevos comandos. Esta dinámica permitió al grupo atacante disponer de acceso persistente y control a distancia sobre el servidor durante siete días consecutivos. El análisis del código permitió comprobar que Slopoly había sido generado con el apoyo de un modelo de lenguaje de gran tamaño (LLM), aunque los investigadores no lograron identificar la plataforma exacta empleada. Según publicó IBM X-Force, determinaron que se empleó una herramienta menos sofisticada, ya que, en palabras del equipo, “el script es mediocre en el mejor de los casos”.
En el contexto de la amenaza de la inteligencia artificial aplicada a la ciberdelincuencia, IBM X-Force subrayó que el uso de IA en la manufactura de malware todavía se encuentra en una fase preliminar. La organización recalcó que, hasta el momento, estas tecnologías “no representan una amenaza nueva o sofisticada desde un punto de vista técnico”. Más allá de la calidad técnica del código, el principal valor de soluciones como Slopoly reside en el hecho de facilitar en exceso las acciones de los atacantes, pues acortan notablemente el tiempo que se requiere para desarrollar y desplegar un ataque, reportó la fuente.
A pesar de la limitada complejidad del script examinado, desde IBM X-Force alertaron sobre la posible evolución de la inteligencia artificial utilizada en ciberataques. Según publicó el medio, los expertos advirtieron que “el uso de IA con agentes y malware con IA integrada permitirá a los modelos tomar decisiones durante todas las fases de la cadena de ataque o durante el desarrollo y las pruebas de marcos C2 avanzados.” Esta previsión sugiere riesgos futuros asociados a una mayor autonomía de los ciberataques y a una tendencia a la automatización integral en las actividades delictivas online.
El hallazgo de Slopoly constituye, según lo observado por IBM X-Force, un ejemplo temprano pero significativo del modo en que las soluciones basadas en inteligencia artificial pueden impactar la seguridad digital, principalmente al acelerar la ejecución de campañas de extorsión cibernética y al proporcionar a los atacantes nuevos recursos para mantener el acceso a sistemas e infraestructuras vulneradas.