Nel panorama della cybersecurity del 2026 sta emergendo un segnale chiaro: la combinazione tra intelligenza artificiale e criminalita informatica sta riducendo drasticamente i tempi necessari per creare nuovi strumenti di attacco. Un esempio significativo e Slopoly, un malware basato su PowerShell attribuito al gruppo Hive0163 e usato per mantenere accesso persistente durante operazioni di ransomware.
Hive0163 e un attore motivato dal profitto, noto per campagne di estorsione che includono esfiltrazione di dati su larga scala e distribuzione di ransomware. Il gruppo e stato associato a diversi tool malevoli e componenti modulari, tra cui loader e trojan di accesso remoto, impiegati per espandere il controllo sulla rete e preparare la fase finale dell attacco. In un caso osservato a inizio 2026, Slopoly e stato distribuito dopo la compromissione iniziale per garantire la persistenza su un server violato per oltre una settimana, offrendo al threat actor una finestra operativa utile per movimenti laterali e deploy di payload aggiuntivi.
L infezione parte da uno script PowerShell posizionato in un percorso tipico di sistema, con meccanismi di persistenza basati su una attivita pianificata denominata Runtime Broker. Cio che rende Slopoly interessante in ottica AI e la presenza di elementi che ricordano codice assistito da un modello linguistico: commenti estesi, gestione degli errori, logging e variabili con nomi coerenti. Lo script si definisce persino come client di persistenza C2 polimorfico, anche se non mostra reali capacita di auto modifica in esecuzione. La variabilita sembra invece demandata a un builder, in grado di generare nuovi client con configurazioni e nomi di funzioni randomizzati, una pratica comune nei malware builder.
Dal punto di vista funzionale, Slopoly agisce come backdoor. Invia periodicamente un segnale di heartbeat con informazioni di sistema a un server di comando e controllo, interroga a intervalli regolari la presenza di nuovi comandi, li esegue tramite cmd.exe e rimanda i risultati al C2. Il contenuto dei comandi eseguiti nella rete compromessa non e sempre visibile, ma il comportamento e coerente con un uso orientato al controllo remoto e alla preparazione del ransomware.
L accesso iniziale puo essere favorito da tecniche di social engineering come ClickFix, che inducono la vittima a eseguire comandi PowerShell malevoli. Da li si innestano altri componenti, come NodeSnake e framework multi linguaggio compatibili con Windows e Linux, capaci di avviare proxy SOCKS5, reverse shell e consegnare ulteriori payload, inclusi ransomware e Slopoly.