El temido grupo de ransomware Hive0163 está utilizando herramientas creadas por IA para infiltrarse en redes corporativas, marcando un antes y un después en la evolución de las ciberamenazas.
La automatización maliciosa ya es una realidad palpable. Este 16 de marzo de 2026, se reporta que el equipo de X-Force de IBM ha descubierto una cepa de malware, bautizada como Slopoly, que con toda probabilidad fue generada utilizando Inteligencia Artificial.
Esta herramienta fue detectada en pleno uso durante un ataque de ransomware dirigido por Hive0163, un grupo cibercriminal impulsado financieramente conocido por sus ataques a gran escala y el despliegue de la variante de ransomware Interlock.
Anatomía de un Código Artificial
El hallazgo de Slopoly demuestra que los ciberdelincuentes ya no necesitan conocimientos profundos de programación para crear herramientas funcionales; la IA está asumiendo el trabajo pesado.
Los analistas de IBM identificaron el script activo en un servidor ya infectado, operando como el componente cliente de una red de Comando y Control (C2) personalizada. La estructura del código de Slopoly reveló huellas inconfundibles de generación por IA:
- Características delatadoras: El script presenta comentarios extensos y explicativos, un manejo de errores demasiado consistente y variables nombradas de forma excesivamente clara; todos sellos característicos del código emitido por Modelos de Lenguaje Grande (LLMs).
- Residuos de código: Se encontró una función “Jitter” no utilizada, lo que sugiere que el atacante realizó un proceso iterativo de ensayo y error con la IA y dejó fragmentos sobrantes en la versión final.
- Alucinaciones de IA: Aunque el propio código se describe a sí mismo en los comentarios como un “Cliente de Persistencia C2 Polimórfico”, en realidad el malware no tiene capacidad técnica para modificar su propio código durante la ejecución, revelando una “alucinación” o imprecisión propia de los generadores de IA.
La Cadena de Infección: El Truco “ClickFix”
El grupo Hive0163 logró colar este invento artificial utilizando ingeniería social pura a través de un vector de entrada conocido como ataque ClickFix.
Los atacantes presentan a la víctima una página web falsa que simula ser un proceso de verificación CAPTCHA. Al interactuar con ella, la página copia silenciosamente un comando malicioso en el portapapeles del usuario y luego lo instruye, mediante falsas alertas del sistema, para que presione la combinación de teclas Win+R (Ejecutar), pegue el contenido y presione Enter. Con este simple engaño, el usuario ejecuta involuntariamente un script de PowerShell malicioso que abre las puertas del sistema.
Una vez dentro, el grupo despliega en cascada su malware (incluyendo puertas traseras como NodeSnake e InterlockRAT) antes de anclar Slopoly en el directorio C:\ProgramData\Microsoft\Windows\Runtime\. El malware de IA garantizó la persistencia creando una tarea programada falsa llamada “Runtime Broker”, comunicándose con el servidor C2 plurfestivalgalaxy[.]com (IP: 94.156.181[.]89).
Para defenderse de herramientas generadas por IA que cambian constantemente, los analistas instan a las organizaciones a migrar hacia métodos de detección basados en comportamiento (como monitorear comandos anómalos en PowerShell o la alteración del registro RunMRU) en lugar de depender únicamente de firmas de antivirus tradicionales.
