💡 Resumen (TL;DR):
- Investigadores de IBM X-Force detectaron a Slopoly, un malware generado mediante IA utilizado en ataques activos de ransomware.
- El uso de herramientas automatizadas impulsó un aumento del 49% en el número de grupos criminales activos en el último año.
- El código acelera radicalmente el desarrollo de amenazas, permitiendo a los atacantes mantener acceso persistente a servidores vulnerados.
Investigadores de ciberseguridad de IBM X-Force detectaron el uso de malware generado por inteligencia artificial en una operación activa de ransomware. El código, bautizado como Slopoly, fue desplegado a principios de 2026 por el grupo Hive0163 para mantener acceso a un servidor vulnerado por más de una semana.
Golo Mühr, investigador de IBM, detalló que este backdoor basado en PowerShell permitió a los atacantes extraer datos confidenciales y ejecutar finalmente el ransomware Interlock. El análisis forense reveló patrones de programación atípicos que delatan su origen artificial.
El código de Slopoly contiene comentarios extensos, un registro estructurado, manejo de errores y variables con nombres legibles. Los desarrolladores humanos de malware acostumbran limpiar estos elementos para no facilitar el trabajo de las áreas de ciberseguridad.
El propio script se autodenomina “Cliente de Persistencia C2 Polimórfico”, pero el equipo determinó que es una etiqueta engañosa generada por el bot.
“El script no posee ninguna técnica avanzada y difícilmente puede considerarse polimórfico, ya que es incapaz de modificar su propio código durante la ejecución”, explicó Mühr.
Funcionamiento técnico de Slopoly
El software opera como un backdoor directo diseñado por una herramienta de construcción que asigna valores de configuración aleatorios. Su ciclo de ataque incluye:
- Enviar un mensaje de estado al servidor de comando cada 30 segundos.
- Solicitar nuevas instrucciones cada 50 segundos.
- Descargar cargas útiles, ejecutar comandos de shell y actualizarse automáticamente.
La brecha inicial ocurrió mediante ClickFix, una táctica de ingeniería social que engañó al usuario para ejecutar un comando en su computadora. Esto instaló el malware NodeSnake y abrió la puerta a herramientas secundarias.
“Aunque sigue siendo relativamente poco espectacular, el malware generado por IA como Slopoly muestra lo fácil que es para los actores de amenazas convertir la IA en un arma para desarrollar nuevos marcos de malware en una fracción del tiempo que tomaba antes”, señaló el investigador.
El descubrimiento coincide con el Índice de Inteligencia de Amenazas X-Force 2026, que registró un aumento interanual del 49% en grupos activos de ransomware.
IBM X-Force advirtió que la inteligencia artificial bajó las barreras de entrada al cibercrimen. Aunque estas herramientas todavía no son sofisticadas, la firma concluyó que el software “habilita desproporcionadamente a los actores de amenazas al reducir el tiempo que necesita un operador para desarrollar y ejecutar un ataque”.
