كشفت تقارير أمنية حديثة عن تفاصيل مالوير جديد يحمل اسم Slopoly، يُعتقد أنه جرى تطويره بمساعدة نماذج لغوية كبيرة (LLMs)، ويستخدمه التهديد السيبراني المعروف باسم Hive0163. هذا الكيان الإجرامي، الذي يركز على الابتزاز عبر سرقة البيانات واسعة النطاق وهجمات الفدية، أضاف Slopoly إلى ترسانته التي تضم أدوات مثل NodeSnake وInterlock RAT وInterlock ransomware.
ما يميز Slopoly ليس تعقيده التقني، بل سرعة تطويره بفضل الذكاء الاصطناعي، حيث أظهر الكود البرمجي تعليقات منظمة، تسجيلات دقيقة، وأسماء متغيرات واضحة، وهو ما يعكس بصمة إنتاج بمساعدة أدوات توليد النصوص البرمجية.
آلية عمل Slopoly وأهدافه
تم رصد Slopoly في إحدى الهجمات مطلع عام 2026، حيث استُخدم خلال مرحلة ما بعد الاستغلال للحفاظ على وصول مستمر إلى الخادم المخترق لأكثر من أسبوع. يعتمد المالوير على سكربت PowerShell يُزرع غالباً في مجلد النظام “Runtime”، ويؤسس مهمة مجدولة باسم “Runtime Broker” لضمان الاستمرارية.
يعمل السكربت كباك دور متكامل، يرسل رسالة نبضية كل 30 ثانية إلى خادم التحكم والسيطرة (C2)، ويستقبل أوامر جديدة كل 50 ثانية، ثم ينفذها عبر “cmd.exe” ويرسل النتائج مرة أخرى. هذه الآلية تمنح المهاجمين قدرة على التحكم المستمر بالجهاز المصاب، رغم أن طبيعة الأوامر التي نُفذت في الشبكات المستهدفة لا تزال غير معروفة.
تكتيكات الوصول الأولي وأدوات Hive0163
الهجوم الذي كشف Slopoly اعتمد على تكتيك اجتماعي يُعرف بـ ClickFix، حيث يُخدع الضحية لتنفيذ أمر PowerShell أولي يقوم بتنزيل NodeSnake، وهو مكون أولي مصمم لتشغيل أوامر شل، وتثبيت الاستمرارية، ثم جلب إطار عمل أوسع مثل Interlock RAT.
تاريخياً، استخدم Hive0163 أساليب متعددة للوصول الأولي، منها الإعلانات الخبيثة (Malvertising) والاعتماد على وسطاء الوصول الأوّلي مثل TA569 المعروف بـ SocGholish، وTAG-124 المعروف بأسماء KongTuke وLandUpdate808. هذه الشبكة من الأدوات والوسطاء تعكس مدى تنظيم المجموعة الإجرامية وقدرتها على التوسع عبر منصات مختلفة.
دلالات أمنية وصعود المالوير المدعوم بالذكاء الاصطناعي
ظهور Slopoly يضاف إلى قائمة متنامية من البرمجيات الخبيثة المدعومة بالذكاء الاصطناعي مثل VoidLink وPromptSpy، ما يؤكد أن المهاجمين باتوا يستغلون هذه التقنية لتسريع تطوير المالوير وتوسيع نطاق العمليات. ورغم أن Slopoly لا يقدم تقنيات متقدمة أو متعددة الأشكال فعلياً، إلا أن خطورته تكمن في تمكين المهاجمين من إنتاج نسخ جديدة بسرعة، مع تغيير أسماء الدوال والقيم لتفادي الكشف.
بحسب تقرير IBM X-Force، فإن التهديد لا يكمن في تعقيد البرمجيات نفسها، بل في تقليص الزمن اللازم لتطويرها وتنفيذ الهجمات، وهو ما يمنح المهاجمين ميزة غير متكافئة أمام فرق الدفاع السيبراني.
