Contexte: IBM X-Force publie une analyse détaillée d’un nouveau backdoor/C2 baptisé “Slopoly”, vraisemblablement généré par un LLM et observé lors d’une attaque ransomware opérée par le cluster financier Hive0163.
– Découverte et portée IBM X-Force a identifié un script PowerShell client d’un framework C2 inédit, nommé Slopoly, déployé en phase tardive d’une intrusion ransomware attribuée à Hive0163 (acteur financier déjà lié à InterlockRAT, NodeSnake, JunkFiction, Interlock ransomware). Slopoly a permis une persistance > 1 semaine sur un serveur compromis. L’analyse souligne l’adoption croissante de l’IA par les cybercriminels, ouvrant une phase d’« armes éphémères » où du malware généré rapidement abaisse fortement les barrières à l’entrée.
– Détails techniques de Slopoly 🤖 Le script, au style typique de code généré par LLM (commentaires verbeux, logs, variables explicites), s’installe sous C:\ProgramData\Microsoft\Windows\Runtime\ et maintient la persistance via une tâche planifiée nommée “Runtime Broker”. Il collecte des infos système puis envoie un beacon HTTP POST en JSON vers l’endpoint C2 /api/commands toutes les 30 s (heartbeat) et interroge les commandes toutes les 50 s, exécute les ordres via cmd.exe et consigne dans persistence.log (rotation à 1 Mo). Malgré une mention de “Polymorphic C2 Persistence Client”, il n’est pas polymorphe à l’exécution; le “builder” semble cependant randomiser des paramètres (ID de session, mutex, URL, intervalles).
– Chaîne d’infection et outils 🔗 L’accès initial provient d’une attaque ClickFix (ingénierie sociale incitant la victime à copier-coller un script malveillant dans Win+R via un faux CAPTCHA). Le premier stage installe NodeSnake (malware NodeJS, C2 HTTP POST, commandes EXE/DLL/JS, shell, persistance, update). Un second backdoor InterlockRAT (JavaScript, C2 WebSocket) ajoute SOCKS5 et reverse shell. Pendant l’intrusion, Hive0163 déploie Slopoly et des outils usuels de ransomware, dont AzCopy et Advanced IP Scanner. Des tunnels Cloudflare et IPs dédiées servent le C2.
– Composant ransomware Interlock 💥 Le binaire Windows (64-bit PE) est packagé via JunkFiction loader. Options notables: -d (dossier), -f (fichier), -del (auto-suppression), -s (tâche planifiée), -r (Restart Manager), -u (stockage des clés sous C:!KEYS_FOR_DECRYPT!). Il crée/active/supprime une tâche planifiée “TaskSystem” pour s’exécuter en SYSTEM. Il chiffre en AES-GCM avec clés de session protégées en RSA (OpenSSL 3.5.0), exclut des répertoires systèmes et des extensions critiques, et appose une extension type .!NT3RLOCK. Il dépose un ransom note (FIRST_READ_ME.txt). La suppression utilise un DLL temporaire (tmp<rand_digits>.wasd) lancé via rundll32.
– Tendances et impact 🧭 Slopoly illustre une génération IA de malware encore moyenne techniquement mais suffisante opérationnellement, avec contournement de garde-fous et un time-to-market réduit. IBM X-Force et Unit 42 observent une montée vers des usages agentiques (modèles décisionnels sur toute la kill chain). L’industrialisation d’IA « weaponizable » pourrait multiplier des malwares éphémères difficiles à attribuer. L’article fournit recommandations et IoCs pour la détection et la chasse.
IoCs 🎯 – Hash: • SHA256 Slopoly script: 0884e5590bdf3763f8529453fbd24ee46a3a460bba4c2da5b0141f5ec6a35675
– Domaines/IPs C2: • Slopoly C2: plurfestivalgalaxy[.]com (panel observé), IP: 94[.]156[.]181[.]89 • IPs associées Hive0163: 77[.]42[.]75[.]119, 23[.]227[.]203[.]123, 172[.]86[.]68[.]64 • Tunnels Cloudflare associés Hive0163: bridal-custody-private-bodies[.]trycloudflare[.]com corner-teacher-guam-characterization[.]trycloudflare[.]com yen-hansen-cartoon-aims[.]trycloudflare[.]com cigarette-assumed-biotechnology-checklist[.]trycloudflare[.]com meet-noted-tax-qualification[.]trycloudflare[.]com liverpool-patterns-lanes-specified[.]trycloudflare[.]com jane-practitioner-lightning-preservation[.]trycloudflare[.]com misc-elliott-mouth-leading[.]trycloudflare[.]com playback-attributes-interviews-processing[.]trycloudflare[.]com postal-ssl-converted-quantity[.]trycloudflare[.]com forget-canal-chancellor-mas[.]trycloudflare[.]com chronic-dividend-amendments-das[.]trycloudflare[.]com planners-mixing-edmonton-endless[.]trycloudflare[.]com baseline-include-priority-bar[.]trycloudflare[.]com specials-storm-height-warriors[.]trycloudflare[.]com safe-accepted-salem-early[.]trycloudflare[.]com bits-promotions-turned-editions[.]trycloudflare[.]com logan-practitioners-percent-cartridges[.]trycloudflare[.]com eugene-examinations-contained-timber[.]trycloudflare[.]com moore-cgi-pen-drove[.]trycloudflare[.]com screenshots-executive-joins-hammer[.]trycloudflare[.]com coffee-lloyd-families-excluded[.]trycloudflare[.]com communist-flying-provision-calendar[.]trycloudflare[.]com lamp-voters-biodiversity-phillips[.]trycloudflare[.]com rpm-chicken-during-staying[.]trycloudflare[.]com module-source-tree-diverse[.]trycloudflare[.]com offers-listing-screenshot-alpha[.]trycloudflare[.]com electrical-protect-molecular-underground[.]trycloudflare[.]com silk-lift-porter-correctly[.]trycloudflare[.]com wives-bufing-humans-prot[.]trycloudflare[.]com describe-absent-operational-seventh[.]trycloudflare[.]com edinburgh-packaging-sense-idol[.]trycloudflare[.]com gzip-picked-istanbul-maple[.]trycloudflare[.]com
TTPs (extraits) 🛠️
- Initial access: ClickFix (ingénierie sociale Win+R, script PowerShell via presse-papiers)
- Exécution/Contrôle: NodeSnake (HTTP POST, exec EXE/DLL/JS, shell), InterlockRAT (WebSocket, SOCKS5, reverse shell), Slopoly (beacon /api/commands, cmd.exe)
- Persistance: Tâche planifiée “Runtime Broker” (Slopoly), “TaskSystem” (Interlock -s)
- Infra C2: Tunnels Cloudflare + IPs dédiées
- Outils: AzCopy, Advanced IP Scanner
- Chiffrement: AES-GCM + RSA (OpenSSL 3.5.0), exclusions dossiers/extensions, extension .!NT3RLOCK, Restart Manager pour déverrouiller
- Effacement traces: rundll32 avec DLL temporaire tmp<rand_digits>.wasd
Recommandations (de l’article) ✅
- Mitiger ClickFix (ex. désactiver Win+R, ou surveiller la clé RunMRU)
- Prioriser des détections comportementales plutôt que signatures spécifiques malware
- Chasser les IoCs associés à Hive0163 listés ci-dessus
Conclusion: Il s’agit d’une publication de recherche d’IBM X-Force présentant une analyse technique, des IoCs et les tendances d’adoption de l’IA par des opérateurs ransomware, avec un objectif principal d’alerte et de renseignement défensif.
🧠 TTPs et IOCs détectés
TTP
Initial access: ClickFix (ingénierie sociale Win+R, script PowerShell via presse-papiers); Exécution/Contrôle: NodeSnake (HTTP POST, exec EXE/DLL/JS, shell), InterlockRAT (WebSocket, SOCKS5, reverse shell), Slopoly (beacon /api/commands, cmd.exe); Persistance: Tâche planifiée ‘Runtime Broker’ (Slopoly), ‘TaskSystem’ (Interlock -s); Infra C2: Tunnels Cloudflare + IPs dédiées; Outils: AzCopy, Advanced IP Scanner; Chiffrement: AES-GCM + RSA (OpenSSL 3.5.0), exclusions dossiers/extensions, extension .!NT3RLOCK, Restart Manager pour déverrouiller; Effacement traces: rundll32 avec DLL temporaire tmp<rand_digits>.wasd
IOC
Hash: SHA256 Slopoly script: 0884e5590bdf3763f8529453fbd24ee46a3a460bba4c2da5b0141f5ec6a35675; Domaines/IPs C2: Slopoly C2: plurfestivalgalaxy[.]com, IP: 94[.]156[.]181[.]89; IPs associées Hive0163: 77[.]42[.]75[.]119, 23[.]227[.]203[.]123, 172[.]86[.]68[.]64; Tunnels Cloudflare associés Hive0163: bridal-custody-private-bodies[.]trycloudflare[.]com, corner-teacher-guam-characterization[.]trycloudflare[.]com, yen-hansen-cartoon-aims[.]trycloudflare[.]com, cigarette-assumed-biotechnology-checklist[.]trycloudflare[.]com, meet-noted-tax-qualification[.]trycloudflare[.]com, liverpool-patterns-lanes-specified[.]trycloudflare[.]com, jane-practitioner-lightning-preservation[.]trycloudflare[.]com, misc-elliott-mouth-leading[.]trycloudflare[.]com, playback-attributes-interviews-processing[.]trycloudflare[.]com, postal-ssl-converted-quantity[.]trycloudflare[.]com, forget-canal-chancellor-mas[.]trycloudflare[.]com, chronic-dividend-amendments-das[.]trycloudflare[.]com, planners-mixing-edmonton-endless[.]trycloudflare[.]com, baseline-include-priority-bar[.]trycloudflare[.]com, specials-storm-height-warriors[.]trycloudflare[.]com, safe-accepted-salem-early[.]trycloudflare[.]com, bits-promotions-turned-editions[.]trycloudflare[.]com, logan-practitioners-percent-cartridges[.]trycloudflare[.]com, eugene-examinations-contained-timber[.]trycloudflare[.]com, moore-cgi-pen-drove[.]trycloudflare[.]com, screenshots-executive-joins-hammer[.]trycloudflare[.]com, coffee-lloyd-families-excluded[.]trycloudflare[.]com, communist-flying-provision-calendar[.]trycloudflare[.]com, lamp-voters-biodiversity-phillips[.]trycloudflare[.]com, rpm-chicken-during-staying[.]trycloudflare[.]com, module-source-tree-diverse[.]trycloudflare[.]com, offers-listing-screenshot-alpha[.]trycloudflare[.]com, electrical-protect-molecular-underground[.]trycloudflare[.]com, silk-lift-porter-correctly[.]trycloudflare[.]com, wives-bufing-humans-prot[.]trycloudflare[.]com, describe-absent-operational-seventh[.]trycloudflare[.]com, edinburgh-packaging-sense-idol[.]trycloudflare[.]com, gzip-picked-istanbul-maple[.]trycloudflare[.]com