IBMは、Hive0163と関連するAI生成のマルウェアフレームワーク「Slopoly」を発見しました。これは、攻撃者が大規模言語モデル(LLM)を使用してカスタムコマンドアンドコントロールクライアントを生成および改良する速度が急速に上がっていることを示しています。
Hive0163の背景
Hive0163は、データ窃取と脅迫のためにInterlockランサムウェアを展開する主要なグローバルランサムウェア事案に関連する、経済動機のあるクラスタです。このグループは、NodeSnake、InterlockRAT、JunkFictionローダー、Interlockランサムウェアなどのプライベートクリッパーやバックドアを含む、拡大する兵器庫に依存しています。
Slopolyの発見
IBM X-Forceは、2026年初頭に発生した事件で、Hive0163が複数のバックドアを連続して使用し、最終的にSlopolyを導入したことを発見しました。これは、AI生成フレームワークを「実弾」条件下でテストしていることを示しています。
Slopolyの詳細
Slopolyは、PowerShellスクリプトを介して動作する新しいC2フレームワークのクライアントコンポーネントです。このスクリプトは、クリックフィックスのソーシャルエンジニアリング攻撃を通じて被害者が実行した後、サーバーにインストールされます。
- 特徴:
- LLM生成ソフトウェアの特徴:詳細なコメント、冗長なログ、クリーンなエラーハンドリング、説明的な変数名
- JSON「ハートビート」ビーコンを定期的に送信
- HTTP経由でコマンドを実行し、活動をログに記録
Interlockランサムウェアの動作
Interlockは、JunkFictionローダーでラップされた64ビットPEペイロードとして配布され、一時的なユーザーディレクトリにドロップされます。Interlockは、特定のディレクトリやファイルを暗号化するオプションをサポートし、スケジュールされたタスクとして実行したり、自身を削除したりする機能もあります。
影響と対策
攻撃者がAIを活用することで、攻撃のタイムラインが短縮され、エントリーバリアが低下し、テンプレート化されたAI支援スクリプトを使用してキャンペーンをスケーリングすることが可能になっています。これに対応するため、セキュリティ専門家は検出、属性、インシデント対応の手法を調整する必要があります。