Sebuah varian malware baru bernama Slopoly ditemukan digunakan dalam serangan ransomware Interlock dan diduga dibuat dengan bantuan teknologi kecerdasan buatan generatif (AI). Malware ini memungkinkan pelaku ancaman mempertahankan akses pada server yang telah disusupi selama lebih dari satu minggu sekaligus mencuri data korban.
Serangan tersebut dianalisis oleh tim peneliti keamanan dari IBM X-Force yang menemukan indikasi kuat bahwa kode Slopoly kemungkinan dibuat menggunakan large language model (LLM). Namun, para peneliti belum dapat memastikan model AI mana yang digunakan untuk menghasilkan malware tersebut.
Serangan Dimulai dari Teknik Social Engineering
Investigasi menunjukkan bahwa insiden dimulai melalui skema rekayasa sosial ClickFix, sebuah metode yang memancing korban agar menjalankan perintah tertentu yang membuka akses bagi penyerang.
Pada tahap lanjutan serangan, pelaku ancaman menyebarkan backdoor Slopoly dalam bentuk skrip PowerShell. Malware ini berfungsi sebagai klien yang terhubung dengan server command-and-control (C2) milik penyerang.
Setelah aktif di sistem target, Slopoly memungkinkan pelaku mengontrol perangkat yang terinfeksi serta menjalankan berbagai perintah dari jarak jauh.
Indikasi Malware Dibuat dengan Bantuan AI
Analisis kode menunjukkan sejumlah karakteristik yang jarang ditemukan pada malware yang ditulis secara manual oleh manusia. Beberapa indikator yang mengarah pada penggunaan AI antara lain:
- Komentar kode yang sangat detail
- Struktur logging yang rapi
- Penanganan error yang sistematis
- Penamaan variabel yang jelas dan konsisten
Ciri-ciri tersebut mengindikasikan bahwa proses pembuatan malware kemungkinan melibatkan alat berbasis AI yang mampu menghasilkan kode secara otomatis.
Serangan ini dikaitkan dengan kelompok ancaman bermotif finansial yang dilacak sebagai Hive0163. Kelompok tersebut dikenal fokus pada pemerasan melalui pencurian data skala besar serta operasi ransomware.
Fitur Malware Slopoly
Meski diduga dibuat dengan teknologi AI, para peneliti menilai Slopoly bukan malware yang sangat canggih. Skrip tersebut bahkan tidak memiliki kemampuan untuk memodifikasi kodenya sendiri selama eksekusi, meskipun dalam komentarnya disebut sebagai “Polymorphic C2 Persistence Client.”
Kemungkinan besar pembuat malware menggunakan sebuah builder yang secara otomatis menghasilkan klien baru dengan konfigurasi berbeda, seperti alamat server C2 atau interval komunikasi.
Malware ini biasanya ditempatkan pada direktori sistem:
C:\ProgramData\Microsoft\Windows\Runtime\
Beberapa fungsi utama Slopoly meliputi:
- Mengumpulkan informasi sistem korban
- Mengirim sinyal heartbeat ke server C2 setiap 30 detik
- Mengambil perintah baru setiap 50 detik
- Menjalankan perintah melalui cmd.exe
- Mengirim hasil eksekusi kembali ke server penyerang
- Menyimpan log aktivitas secara bergilir
- Membuat mekanisme persistensi melalui scheduled task bernama Runtime Broker
Selain itu, Slopoly mampu menerima berbagai instruksi dari server kontrol, termasuk mengunduh dan menjalankan file berbahaya seperti EXE, DLL, maupun JavaScript, menjalankan perintah shell, memperbarui dirinya sendiri, hingga menghentikan prosesnya.
Bagian dari Rantai Serangan Ransomware
Dalam serangan yang diamati, Slopoly bukan satu-satunya malware yang digunakan. Pelaku juga menyebarkan beberapa komponen lain seperti NodeSnake dan InterlockRAT untuk memperkuat akses mereka ke jaringan korban.
Ransomware Interlock sendiri mulai muncul pada tahun 2024 dan dikenal sebagai salah satu kelompok awal yang menggunakan teknik rekayasa sosial ClickFix, serta varian lainnya yang disebut FileFix.
Kelompok ini sebelumnya mengklaim telah menyerang sejumlah organisasi besar, termasuk institusi pendidikan, perusahaan layanan kesehatan, serta pemerintah daerah di Amerika Serikat.
Payload ransomware yang digunakan dalam serangan tersebut merupakan executable Windows 64-bit yang didistribusikan melalui loader bernama JunkFiction. Malware ini dapat dijalankan sebagai scheduled task dengan hak akses SYSTEM dan memanfaatkan Windows Restart Manager API untuk membuka file yang sedang digunakan sebelum mengenkripsinya.
File yang berhasil dienkripsi biasanya diberi ekstensi . !NT3RLOCK atau .int3R1Ock.
Hubungan dengan Operasi Malware Lain
Peneliti IBM juga menemukan kemungkinan keterkaitan antara kelompok Hive0163 dengan pengembang berbagai alat malware lainnya, termasuk Broomstick, SocksShell, PortStarter, SystemBC, serta operator ransomware Rhysida.
Temuan ini menunjukkan bahwa penggunaan AI dalam pengembangan malware mulai dimanfaatkan untuk mempercepat pembuatan alat serangan yang disesuaikan dengan kebutuhan operasi ransomware.