Vào đầu năm 2026, IBM X-Force đã phát hiện một chủng mã độc ransomware nhiều khả năng được tạo ra bằng Trí tuệ Nhân tạo (AI), đặt tên là “Slopoly”. Mã độc này được triển khai trong một cuộc tấn công tống tiền bởi nhóm tội phạm mạng có động cơ tài chính Hive0163.
Nhóm này chủ yếu tập trung vào đánh cắp dữ liệu quy mô lớn và triển khai ransomware, sử dụng một kho công cụ tùy chỉnh ngày càng tăng để duy trì sự hiện diện trong các mạng mục tiêu.
Sự trỗi dậy của AI-generated malware trong các chiến dịch tấn công
Phát hiện này đánh dấu một bước chuyển đáng chú ý trong cách tội phạm mạng bắt đầu sử dụng Trí tuệ Nhân tạo để xây dựng công cụ tấn công nhanh hơn và với chi phí thấp hơn đáng kể.
Hive0163 là một cụm tác nhân đe dọa được ghi nhận, đứng sau nhiều cuộc tấn công ransomware toàn cầu nổi tiếng, tất cả đều liên quan đến biến thể ransomware Interlock.
Bộ công cụ của chúng bao gồm các trình mã hóa riêng tư và backdoor malware, bao gồm NodeSnake, InterlockRAT, và trình tải JunkFiction loader. Mỗi công cụ đều được xây dựng để giúp nhóm này giành quyền truy cập lâu dài vào các môi trường đã bị xâm nhập.
Để giành quyền truy cập ban đầu, nhóm này nổi tiếng là sử dụng các cuộc tấn công ClickFix và malvertising. Chúng cũng được cho là làm việc với các nhà môi giới truy cập ban đầu để tiếp cận mục tiêu của mình, khiến Hive0163 trở thành một trong những nhóm ransomware có mối quan hệ tốt nhất hiện nay.
Phân tích kỹ thuật về mã độc Slopoly
Các nhà phân tích của IBM đã xác định Slopoly trong một hoạt động phản ứng với ransomware trực tiếp, nơi script này được tìm thấy triển khai trên một máy chủ đã bị nhiễm. Thông tin chi tiết hơn về phát hiện này có thể tham khảo từ phân tích của IBM X-Force tại IBM X-Force Blog.
Mã độc hoạt động như một thành phần client của một framework Command-and-Control (C2) tùy chỉnh. Nó được thả vào đường dẫn C:\ProgramData\Microsoft\Windows\Runtime\ và thiết lập cơ chế duy trì (persistence) thông qua một tác vụ theo lịch trình (scheduled task) có tên “Runtime Broker”.
Hive0163 đã sử dụng Slopoly để duy trì quyền truy cập vào máy chủ bị nhiễm trong hơn một tuần, mặc dù các lệnh cụ thể được chạy trong thời gian đó không được phục hồi.
Đặc điểm nhận diện AI trong mã nguồn Slopoly
Cấu trúc của script Slopoly mang dấu hiệu rõ ràng của việc được tạo ra bởi AI. Nó có các bình luận chi tiết, xử lý lỗi nhất quán và các biến được đặt tên rõ ràng. Đây đều là những đặc điểm của mã được viết bởi một mô hình ngôn ngữ lớn.
Script cũng chứa một hàm “Jitter” không được sử dụng, có khả năng bị bỏ lại từ một quá trình phát triển AI lặp đi lặp lại.
Mặc dù các bình luận trong mã mô tả nó là “Polymorphic C2 Persistence Client”, nhưng mã độc này thực sự không thể tự sửa đổi mã của mình trong quá trình thực thi. Điều này khiến nhãn đó vừa gây hiểu lầm vừa không chính xác về mặt kỹ thuật.
IBM X-Force không thể xác định mô hình AI nào đã tạo ra Slopoly, mặc dù chất lượng tổng thể cho thấy đây là một công cụ ít tiên tiến hơn.
Tác động rộng lớn đến mối đe dọa mạng
Tác động rộng lớn hơn của khám phá này vượt xa các chi tiết kỹ thuật. Slopoly chứng minh rằng những kẻ tấn công không còn cần kiến thức lập trình sâu rộng để tạo ra malware có chức năng. AI giờ đây có thể xử lý phần lớn công việc đó.
Unit 42 của Palo Alto, trong báo cáo Global Incident Response Report 2026 của họ được công bố ngay sau đó, đã ghi nhận các mô hình tương tự về việc áp dụng AI trong các chiến dịch ransomware. Điều này càng xác nhận rằng xu hướng này đang trở nên phổ biến trên toàn bộ bối cảnh mối đe dọa mạng.
Quy trình tấn công và chuỗi lây nhiễm của Hive0163
Cuộc xâm nhập bắt đầu bằng một cuộc tấn công ClickFix. Đây là một kỹ thuật kỹ thuật xã hội thao túng nạn nhân tự thực thi một script PowerShell độc hại.
Những kẻ tấn công trình bày một trang xác minh giống CAPTCHA giả mạo. Trang này âm thầm lưu trữ một lệnh độc hại vào clipboard của người dùng. Sau đó, nó nhắc họ nhấn Win+R, dán nội dung và nhấn Enter, từ đó chạy mã độc mà không hề hay biết.
Chuỗi triển khai công cụ
Quyền truy cập ban đầu này đã kích hoạt một chuỗi triển khai nhiều lớp:
- Đầu tiên, NodeSnake, một backdoor dựa trên Node.js, được cài đặt, kết nối với máy chủ C2 qua các yêu cầu HTTP POST.
- Sau đó là InterlockRAT, có khả năng cao hơn, bổ sung giao tiếp qua web socket, một SOCKS5 tunnel và một reverse shell.
- Slopoly sau đó xuất hiện trong các giai đoạn sau của cuộc tấn công, cùng với các công cụ hậu khai thác như AzCopy và Advanced IP Scanner.
Thông tin C2 của Slopoly
Máy chủ C2 của Slopoly được lưu trữ tại plurfestivalgalaxy[.]com (94.156.181[.]89). Trang này hiển thị một bảng đăng nhập trong suốt thời gian hoạt động của nó.
Chỉ số nhận diện (IOCs) và khuyến nghị phòng thủ
Các nhóm bảo mật cần chuyển sang các phương pháp phát hiện dựa trên hành vi. AI-generated malware thường bỏ qua các công cụ dựa trên chữ ký vốn dựa vào các mẫu đã biết.
Chỉ số xâm nhập liên quan đến Hive0163 và Slopoly
Những người phòng thủ cũng được khuyến khích chủ động tìm kiếm trong môi trường của họ các chỉ số xâm nhập liên quan đến Hive0163, bao gồm:
- C2 Domain Slopoly:
plurfestivalgalaxy[.]com(hiện không còn hoạt động) - C2 IP Slopoly:
94.156.181[.]89 - Các địa chỉ IP C2 bổ sung:
77.42.75[.]119 23.227.203[.]123 172.86.68[.]64
Khuyến nghị phòng thủ
IBM X-Force khuyên các nhà phòng thủ nên triển khai các biện pháp bảo vệ chống lại các cuộc tấn công ClickFix, chẳng hạn như:
- Tắt phím tắt Win+R.
- Giám sát khóa đăng ký RunMRU để tìm các mục bất thường.
- Sử dụng các giải pháp phát hiện và phản hồi nâng cao để nhận diện các bất thường về hành vi.
- Thường xuyên cập nhật bản vá bảo mật cho tất cả các hệ thống và ứng dụng.
