AI驱动勒索软件新威胁浮现
2026年初,IBM X-Force发现了一个名为Slopoly的疑似AI生成恶意软件,被用于勒索软件攻击。该恶意软件由追踪为Hive0163的犯罪团伙使用,该团伙主要通过大规模数据窃取和勒索获取经济利益。这一发现标志着高级网络犯罪集团开始采用AI技术,预示着威胁格局的根本性转变。虽然Slopoly本身技术含量不高,但它展示了威胁行为者如何利用AI在极短时间内开发新的恶意软件框架,这种能力将显著降低攻击门槛。
这种AI驱动的恶意软件开发模式在当前阶段比代理型AI更容易获取,但X-Force评估认为这仅是对抗性AI与防御者之间军备竞赛的初始阶段。已有报告指出恶意使用的代理型AI和AI集成的恶意软件,允许模型在攻击链的所有阶段或高级命令与控制框架的开发测试期间做出决策。随着可武器化的AI变得越来越容易获取,威胁情报行业和整个网络安全行业将被迫重新定义自身。
Slopoly恶意软件技术特征分析
Slopoly是一个功能完整的后门程序,部署在感染服务器的C:\\ProgramData\\Microsoft\\Windows\\Runtime\\目录中,并通过名为Runtime Broker的计划任务建立持久性。该脚本通过HTTP POST请求向C2服务器的/api/commands端点发送JSON格式的"心跳"信标,每30秒发送一次,每50秒轮询新命令。接收到的命令通过cmd.exe执行,结果回传给服务器。恶意软件还维护详细的日志文件persistence.log,当文件大小达到1MB时进行轮换。
代码分析显示,该脚本具有典型的AI生成软件特征,包括大量注释、日志记录、错误处理和准确命名的变量。代码中包含一个未使用的Jitter函数,可能是迭代式LLM辅助开发的结果。一个强有力的指标是注释将脚本描述为"多态C2持久性客户端",但脚本实际上不具备任何高级技术,无法在执行过程中修改自身代码。变量命名表明模型旨在设计恶意脚本,意味着任何模型防护栏都已被成功绕过。
行业防御策略需全面升级
Hive0163使用Slopoly在感染服务器上保持持久访问超过一周。此次入侵始于成功的ClickFix攻击,这是一种社会工程技术,通过各种方法操纵用户不知不觉地执行恶意PowerShell脚本。受害者通常面临类似CAPTCHA的验证页面,将恶意脚本存储到剪贴板,并提示用户按下Win+R打开Windows运行,然后Ctrl+V粘贴剪贴板内容,最后Enter执行脚本。
此次事件表明,AI生成恶意软件的引入从技术角度看并不构成新的或复杂的威胁,但它不成比例地使威胁行为者受益,减少了操作员开发和执行攻击所需的时间。随着可武器化的AI变得越来越容易获取,网络安全行业必须重新定义自身,适应这一根本性的转变。
