كشف باحثو الأمن السيبراني عن تفاصيل برمجية خبيثة جديدة يُعتقد أنها مولدة جزئياً عبر الذكاء الاصطناعي، أطلق عليها اسم Slopoly، وتستخدمها مجموعة التهديد المالي Hive0163 في هجمات الفدية. هذه المجموعة معروفة باستخدامها لأدوات مثل NodeSnake، Interlock RAT، وInterlock ransomware، وتستند عملياتها إلى الابتزاز عبر سرقة البيانات واسعة النطاق.
خصائص البرمجية Slopoly
- تم اكتشافها في هجوم فدية مطلع عام 2026، حيث استُخدمت خلال مرحلة ما بعد الاستغلال للحفاظ على وصول مستمر إلى الخادم المخترق لأكثر من أسبوع.
- يتم نشرها عبر سكربت PowerShell يُزرع في مجلد:
C:\ProgramData\Microsoft\Windows\Runtime\ - تعتمد على مهمة مجدولة باسم Runtime Broker لضمان الاستمرارية.
- تحتوي على تعليقات ووصف داخلي يشير إلى أنها “Polymorphic C2 Persistence Client”، ما يعكس دورها كجزء من إطار قيادة وسيطرة (C2).
رغم أن البرمجية لا تُظهر تقنيات متقدمة أو قدرة فعلية على تغيير شيفرتها أثناء التنفيذ، إلا أن البُنية تشير إلى مساهمة نموذج لغوي كبير (LLM) في تطويرها، عبر تحسين التعليقات، تسجيل الأخطاء، وتسمية المتغيرات بدقة.
وظائف البرمجية
- تعمل كـ Backdoor كامل الوظائف.
- ترسل رسالة “Heartbeat” كل 30 ثانية إلى خادم C2 تتضمن معلومات النظام.
- تستعلم عن أوامر جديدة كل 50 ثانية وتنفذها عبر cmd.exe، ثم تعيد النتائج إلى الخادم.
- طبيعة الأوامر التي يتم تنفيذها داخل الشبكة المصابة لم تُكشف بعد.
سلسلة الهجوم
الهجوم يبدأ عادةً عبر أسلوب الهندسة الاجتماعية المعروف باسم ClickFix، حيث يُخدع الضحية لتنفيذ أمر PowerShell يؤدي إلى تنزيل NodeSnake، وهو مكون أولي مصمم لتشغيل أوامر النظام، إنشاء استمرارية، وجلب إطار أوسع مثل Interlock RAT.
هذا الإطار يدعم لغات متعددة (PowerShell، PHP، C/C++، Java، JavaScript) ويعمل على أنظمة Windows وLinux، مما يتيح إنشاء نفق SOCKS5، فتح قشرة عكسية (Reverse Shell)، وتنزيل حمولة إضافية مثل Interlock ransomware وSlopoly.
دلالات ظهور Slopoly
ظهور هذه البرمجية يضيفها إلى قائمة متزايدة من البرمجيات المدعومة بالذكاء الاصطناعي مثل VoidLink وPromptSpy. ورغم أن التهديد ليس تقنياً جديداً أو معقداً، إلا أن الاعتماد على الذكاء الاصطناعي يقلل بشكل كبير من الوقت اللازم لتطوير البرمجيات الخبيثة، مما يمنح المهاجمين قدرة أكبر على التوسع وتسريع عملياتهم.
