Un groupe de cybercriminels a utilisé un malware vraisemblablement généré à l’aide d’un modèle de langage lors d’une attaque par ransomware. Repéré par IBM X-Force, ce script PowerShell baptisé Slopoly a permis aux attaquants de conserver un accès au serveur compromis pendant plus d’une semaine.
Alors qu'ils analysaient une attaque par ransomware, les chercheurs d’IBM X-Force ont identifié un malware inédit présentant de fortes similarités avec du code généré par intelligence artificielle. Baptisé Slopoly, ce script PowerShell aurait été utilisé par le groupe Hive0163 pour maintenir un accès persistant à un serveur compromis avant le déploiement du rançongiciel Interlock. L’outil reste techniquement assez simple, mais il témoigne d’une évolution déjà observée dans plusieurs incidents récents : le recours à l'IA pour accélérer la création de nouveaux malwares.
Un malware simple utilisé pour maintenir l’accès au système
Le malware identifié par IBM consiste en un script PowerShell installé sur le serveur compromis dans le dossier C:\ProgramData\Microsoft\Windows\Runtime\. Il s’agit d’une backdoor, autrement dit d’un programme qui permet aux attaquants de conserver un accès à distance à la machine et d’y exécuter des commandes. Dès son lancement, le script collecte plusieurs informations sur le système infecté, dont l’adresse IP publique, le nom de l’utilisateur et celui de l’ordinateur, puis les transmet au serveur contrôlé par les attaquants.
Le malware contacte ensuite régulièrement son serveur de commande, à la fois pour signaler qu’il est toujours actif et pour récupérer d’éventuelles instructions. Les ordres reçus sont exécutés via l’interpréteur de commandes Windows, puis les résultats sont renvoyés aux attaquants. Pour conserver son accès au système, il s’appuie sur une tâche planifiée chargée de relancer le script automatiquement et conserve un journal d’activité sur la machine compromise.
Dans l’attaque analysée par IBM, le malware n’a toutefois pas servi de vecteur d’infection. L’intrusion aurait débuté par une campagne de type ClickFix, qui pousse la victime à exécuter elle-même un script malveillant via la boîte de dialogue Exécuter de Windows. Une fois ce premier accès obtenu, les attaquants ont déployé plusieurs charges utiles successives, dont NodeSnake et InterlockRAT, avant d’installer Slopoly puis de lancer le ransomware Interlock. Le fait que Slopoly n’apparaisse qu’à un stade avancé de l’opération laisse d’ailleurs penser qu’il a pu être utilisé dans une logique de test en conditions réelles.
Un code probablement généré par intelligence artificielle
A priori, rien dans les capacités de Slopoly ne le rend particulièrement impressionnant sur le plan technique. IBM le décrit même comme assez médiocre, malgré certains intitulés et commentaires présents dans le code, qui le dépeignent comme plus élaboré qu’il ne l’est réellement. En revanche, plusieurs éléments relevés dans le script laissent penser qu’il pourrait avoir été créé avec l’aide d’un modèle de langage.
Le fichier contient notamment un grand nombre de commentaires expliquant son fonctionnement, ainsi que des variables et des fonctions portant des noms très explicites. Il inclut aussi une gestion détaillée des erreurs et un système de journalisation relativement structuré. S’y ajoute une description interne particulièrement flatteuse, puisque le script se présente comme un « Polymorphic C2 Persistence Client », alors même que l’analyse du code ne met en évidence aucune aptitude à modifier son propre fonctionnement en cours d’exécution.
Bref, un ensemble très balisé, presque surdocumenté, et pas toujours très précis sur ce qu’il prétend être, qui évoque davantage un script généré ou assisté par IA qu’un malware développé de façon plus artisanale.
Au fond, l’intérêt de Slopoly tient moins à ses qualités propres qu’à ce qu’il dit déjà de l’évolution des méthodes employées par certains cybercriminels. Si l’IA permet effectivement de produire plus vite des outils opérationnels, avec moins de temps, moins d’efforts et un niveau d’expertise plus variable, elle pourrait aussi favoriser l’essor de malwares « éphémères », développés pour une attaque spécifique puis abandonnés dans la foulée. Voilà qui devrait encore compliquer l’attribution des campagnes malveillantes.
Source : IBM
