Investigadores de ciberseguridad han revelado detalles de un presunto malware generado por inteligencia artificial (IA) con nombre en código Slopoly puesto en uso por un actor de amenazas motivado financieramente llamado colmena0163.

«Aunque todavía no es nada espectacular, el malware generado por IA como Slopoly muestra con qué facilidad los actores de amenazas pueden utilizar la IA como arma para desarrollar nuevos marcos de malware en una fracción del tiempo que solía llevar», Golo Mühr, investigador de IBM X-Force dicho en un informe compartido con The Hacker News.

Las operaciones de Hive0163 están impulsadas por la extorsión mediante exfiltración de datos a gran escala y ransomware. El grupo de delitos electrónicos está asociado principalmente con una amplia gama de herramientas maliciosas, incluidas NodeSnake, Interlock RAT, JunkFiction Loader y Interlock ransomware.

En un ataque de ransomware observado por la empresa a principios de 2026, se observó que el actor de amenazas implementaba Slopoly durante la fase posterior a la explotación para mantener el acceso persistente al servidor comprometido durante más de una semana.

El descubrimiento de Slopoly se remonta a un script de PowerShell que probablemente se implementó mediante un constructor, que también estableció la persistencia a través de una tarea programada llamada «Runtime Broker».

Hay indicios de que el malware se desarrolló con la ayuda de un modelo de lenguaje grande (LLM) aún indeterminado. Esto incluye la presencia de comentarios extensos, registros, manejo de errores y variables con nombres precisos. Los comentarios también describen el script como un «Cliente de persistencia C2 polimórfico», lo que indica que es parte de un marco de comando y control (C2).

«Sin embargo, el script no posee técnicas avanzadas y difícilmente puede considerarse polimórfico, ya que no puede modificar su propio código durante la ejecución», señala Mühr. «Sin embargo, el creador puede generar nuevos clientes con diferentes valores de configuración aleatorios y nombres de funciones, lo cual es una práctica estándar entre los creadores de malware».

El script de PowerShell funciona como una puerta trasera completa que puede enviar un mensaje de latido que contiene información del sistema a un servidor C2 cada 30 segundos, sondear un nuevo comando cada 50 segundos, ejecutarlo a través de «cmd.exe» y transmitir los resultados al servidor. Actualmente se desconoce la naturaleza exacta de los comandos ejecutados en la red comprometida.

Se dice que el ataque en sí aprovechó la táctica de ingeniería social ClickFix para engañar a una víctima para que ejecute un comando de PowerShell, que luego descarga NodeSnake, un conocido malware atribuido a Hive0163. Un componente de primera etapa, NodeSnake, está diseñado para ejecutar comandos de shell, establecer persistencia y recuperar y lanzar un marco de malware más amplio conocido como Interlock RAT.

Hive0163 tiene un historial de empleo de ClickFix y publicidad maliciosa para el acceso inicial. Otro método que utiliza el actor de amenazas para establecerse es confiar en corredores de acceso inicial como TA569 (también conocido como SocGholish) y TAG-124 (también conocido como KongTuke y LandUpdate808).

El marco tiene múltiples implementaciones en PowerShell, PHP, C/C++, Java y JavaScript para admitir tanto Windows como Linux. Al igual que NodeSnake, también se comunica con un servidor remoto para obtener comandos que le permitan iniciar un túnel proxy SOCKS5, generar un shell inverso en la máquina infectada y entregar más cargas útiles, como Interlock ransomware y Slopoly.

La aparición de Slopoly se suma a una lista cada vez mayor de malware asistido por IA, que también incluye VoidLink y PromptSpy, lo que pone de relieve cómo los delincuentes están utilizando la tecnología para acelerar el desarrollo de malware y escalar sus operaciones.

«La introducción de malware generado por IA no representa una amenaza nueva o sofisticada desde un punto de vista técnico», dijo IBM X-Force. «Permite desproporcionadamente a los actores de amenazas al reducir el tiempo que un operador necesita para desarrollar y ejecutar un ataque».

Un hombre de 41 años del sur de Florida está acusado de realizar al menos 10 ataques de ransomware y extorsionar por un total combinado de 75,25 millones de dólares en pagos de rescate mientras trabajaba como negociador de ransomware para DigitalMint.

Cinco de las presuntas víctimas de Angelo John Martino III contrataron a DigitalMint, que asignó a Martino para llevar a cabo negociaciones sobre ransomware en nombre de sus clientes, colocándolo en una posición para jugar en ambos lados, como el criminal responsable del ataque y el negociador principal de sus presuntas víctimas, según registros judiciales federales revelados el miércoles.

Martino supuestamente obtuvo una cuenta de afiliado en ALPHV, también conocida como BlackCat, y conspiró con otros exprofesionales de ciberseguridad para irrumpir en las redes de las víctimas, robar y cifrar datos y extorsionar a las empresas para pedir rescates durante un período de seis meses en 2023.

Martino fue un cómplice anónimo en una acusación presentada en noviembre de 2025 contra Kevin Tyler Martin, otro exnegociador de ransomware en DigitalMint, y Ryan Clifford Goldberg, exgerente de respuesta a incidentes en Sygnia. Goldberg y Martin se declararon culpables en diciembre de participar en una serie de ataques de ransomware y su sentencia está programada para el 30 de abril.

Los fiscales acusan a Martino de proporcionar información confidencial sobre negociaciones de ransomware a los co-conspiradores de ALPHV para maximizar el pago del rescate. Su abogado no respondió de inmediato a una solicitud de comentarios.

Las cinco víctimas con sede en EE. UU. que contrataron a DigitalMint y, sin saberlo, recurrieron a Martino para supuestamente llevar a cabo negociaciones de ransomware con él y sus co-conspiradores incluyen una organización sin fines de lucro y empresas de las industrias hotelera, de servicios financieros, minorista y médica. Las cinco víctimas pagaron un rescate.

Goldberg y Martin no fueron nombrados específicamente como co-conspiradores en esos ataques. Los fiscales dijeron anteriormente que solo extorsionaron con éxito un pago financiero de una de sus víctimas por casi 1,3 millones de dólares.

Firma de ciberseguridad que contrató a Martino responde

DigitalMint dijo que suspendieron el acceso de Martino a los sistemas cuando el Departamento de Justicia notificó a la compañía que lo estaban investigando el 3 de abril y lo despidió al día siguiente. La compañía, que no está acusada de ningún conocimiento o participación en los delitos, agregó que no tenía conocimiento de que Martino y Martin ya estuvieran involucrados en esquemas relacionados con ransomware antes de ser contratados.

«Condenamos enérgicamente el comportamiento criminal de estos ex empleados, que violaron nuestros valores, estándares éticos y la ley», dijo el director ejecutivo de DigitalMint, Jonathan Solomon, en una declaración a CyberScoop.

«DigitalMint ha cooperado plenamente con las autoridades desde el principio y no espera más cargos», añadió Solomon. «Si bien ninguna organización puede eliminar por completo el riesgo interno, nos tomamos incidentes como este extremadamente en serio y hemos reforzado las salvaguardas y los controles internos para reducir aún más la probabilidad de conductas similares».

DigitalMint no respondió directamente a las preguntas sobre si reembolsó a sus clientes que supuestamente fueron víctimas de Martino. «No podemos discutir relaciones específicas con clientes o acuerdos de honorarios debido a obligaciones de confidencialidad», dijo un portavoz en un comunicado. «Seguimos comprometidos con nuestros clientes y hemos abordado cualquier asunto comercial directamente con esas partes».

La compañía también se negó a describir las circunstancias bajo las cuales fue contratada y asignó a Martino para llevar a cabo negociaciones de ransomware sobre los ataques que supuestamente cometió. Sin embargo, en una declaración señaló: “Los documentos de acusación no alegan que Martino haya remitido o llevado a estas víctimas a DigitalMint”.

El caso contra Martino muestra un ejemplo extremo, aunque raro, del punto más oscuro de la negociación de ransomware como práctica. Los peligros de la negociación de ransomware son excesivos y estas negociaciones de canal secundario, que en gran medida no se analizan, pueden salir mal por varias razones.

Las autoridades confiscan alrededor de 12 millones de dólares en activos y fijan una fianza de 500.000 dólares

Martino está acusado de conspiración para interferir con el comercio mediante extorsión y enfrenta hasta 20 años de prisión. Está previsto que se declare culpable el 19 de marzo.

Las autoridades confiscaron casi 9,2 millones de dólares en cinco tipos de criptomonedas de 21 carteras controladas por Martino. Otros artículos incautados a Martino incluyen un Nissan Skyline de 1999, un Polaris RZR de 2024, un remolque de 2023 y una embarcación de 29 pies fabricada en 2023.

Los funcionarios también confiscaron dos propiedades propiedad de Martino en Nokomis, Florida, incluida una casa frente a la bahía con un valor estimado de 1,68 millones de dólares y una segunda casa unifamiliar con un valor estimado de 396.000 dólares. La casa frente a la bahía fue reportada como la Segunda transacción inmobiliaria más grande de la semana. cuando Martino y su esposa compraron la casa por $1,791 millones en febrero de 2024.

Martino se entregó a los alguaciles estadounidenses en Miami el martes y fue liberado con una fianza de 500.000 dólares. Tiene restringido viajar fuera del Distrito Sur de Florida y tiene prohibido trabajar en la industria de la ciberseguridad.

ALPHV/BlackCat era un notorio grupo de ransomware y extorsión vinculado a una serie de ataques a proveedores de infraestructura crítica. La variante de ransomware apareció por primera vez a finales de 2021 y luego se utilizó en decenas de ataques a organizaciones del sector de la salud.

El grupo detrás de la cepa de ransomware también se atribuyó la responsabilidad del ataque de febrero de 2024 a la filial de UnitedHealth Group, Change Healthcare, que pagó un rescate de 22 millones de dólares y se convirtió en la mayor filtración de datos de atención médica registrada, comprometiendo los datos de alrededor de 190 millones de personas.

Dos de las presuntas víctimas de Martino pagaron rescates aún mayores en 2023, según los fiscales, incluido un pago de casi 26,8 millones de dólares de la organización sin fines de lucro no identificada y un pago de casi 25,7 millones de dólares de la empresa de servicios financieros no identificada.

Puede leer los cargos formales que los fiscales presentaron contra Martino a continuación.

Vuelos cancelados. Las salas de emergencia cerraron. Empresas centenarias cerraron.

El ransomware y otros ataques cibernéticos similares se han vuelto tan rutinarios que incluso esas graves consecuencias humanas y económicas a menudo se pasan por alto o se olvidan fácilmente.

Esta falta de concentración es peligrosa.

Como ex líderes de las unidades cibernéticas del FBI y CISA, hemos visto cómo el cibercrimen se propaga en las comunidades, interrumpiendo servicios críticos, destruyendo empleos y, en ocasiones, costando vidas. Las cifras actuales de ransomware cuentan una historia cruda. El Departamento de Seguridad Nacional informó más de 5.600 ataques de ransomware divulgados públicamente en todo el mundo en 2024, casi la mitad de ellos en Estados Unidos. El FBI descubrió que los incidentes de ransomware aumentaron casi nueve por ciento año tras año, y casi la mitad se destina a infraestructura crítica. Los ataques a estas organizaciones representan la mayor amenaza para la seguridad nacional y la seguridad pública.

A pesar de esta tendencia, somos cautelosamente optimistas acerca de la nueva Estrategia Cibernética Nacional de la administración. Se centra en proteger la infraestructura crítica y detener el ransomware y el cibercrimen, amenazas que eleva correctamente a amenazas de primer nivel para la seguridad nacional.

Pero el éxito requiere una acción sostenida por parte del gobierno y la industria. Los adversarios están evolucionando más rápido que las defensas: los ataques de ransomware ahora promedio $2.73 millones por incidente, lo que genera pérdidas anuales de miles de millones. Los atacantes han comprimido sus operaciones de semanas a horas, desactivando las herramientas de detección y respuesta de endpoints (EDR) y dejando a los defensores casi sin tiempo para detener un ataque.

La ciberhigiene básica sigue siendo importante. Pero ya no es suficiente. Los atacantes roban credenciales válidas, explotan vulnerabilidades conocidas, desactivan herramientas y se mueven lateralmente a la velocidad de la máquina, ahora acelerada por la IA. Necesitan un nivel sorprendentemente bajo de experiencia técnica para hacerlo, y las herramientas de inteligencia artificial están aumentando la velocidad y la escala de sus acciones.

Nuestras defensas deben seguir el ritmo de las amenazas en evolución. La protección de la seguridad nacional requiere una acción inmediata. Automatizar el intercambio de información sobre amenazas cibernéticas ofrece beneficios claros, pero las agencias gubernamentales necesitan importantes actualizaciones estructurales y tecnológicas antes de poder compartir datos de manera efectiva. Esto requiere inversión y supervisión sostenidas.

El gobierno no tiene que hacer esto solo. La industria y el mundo académico poseen herramientas que podrían marcar la diferencia entre el progreso y volver a abordar esta misma conversación dentro de cuatro, ocho o doce años. Foros como el Joint Cyber ​​Defense Collaborative (JCDC) de CISA, el National Cyber ​​Investigative Joint Task Force (NCIJTF) y el Cyber ​​Collaboration Center (CCC) de la NSA han demostrado que la fusión de información y la planificación operativa conjunta pueden funcionar. Pero las misiones superpuestas y los manuales poco claros hacen que las empresas tengan que adivinar qué compartir, cuándo compartirlo y con quién. Estos foros y mecanismos de colaboración subyacentes deben contar con recursos, estar libres de conflictos y ser predecibles.

A pesar de los nobles esfuerzos de las agencias gubernamentales para compartir entre bastidores e interactuar con la industria con una sola voz, la estructura actual sigue siendo frágil y dependiente de las relaciones personales. Simplemente no podemos permitirnos esta fragilidad o ineficiencia, particularmente en una era de recursos cibernéticos gubernamentales limitados y amenazas crecientes.

La protección eficaz de la infraestructura crítica requiere una colaboración enfocada. La estrategia de la administración enfatiza esto con razón, pero limitar este enfoque no será fácil. Durante años, el gobierno ha intentado cubrir por igual dieciséis sectores y cientos de miles de entidades, una tarea imposible. La misma atención para todos no es realista. Mirando hacia atrás, desearíamos haber priorizado más estratégicamente durante nuestro tiempo en el gobierno.

La priorización es políticamente difícil, pero operativamente necesaria. Cuando todo es crítico, nada lo es realmente. Para la infraestructura crítica más importante, debemos centrarnos en la resiliencia (garantizar que los sistemas puedan resistir ataques y recuperarse rápidamente) en lugar de asumir que podemos prevenir todas las violaciones.

El gobierno puede tomar medidas concretas ahora para alterar el ecosistema del ransomware. El ransomware ha costado vidas estadounidenses; Designar a ciertos actores de ransomware y sus facilitadores como organizaciones terroristas extranjeras podría desbloquear sanciones, acciones diplomáticas y operaciones de inteligencia más poderosas. Una regulación sensata que responsabilice a los intercambios de criptomonedas por el lavado consciente de las ganancias del ransomware podría debilitar los modelos de negocios criminales y al mismo tiempo fortalecer los mercados legítimos de activos digitales en los EE. UU. y las naciones aliadas.

La industria de la tecnología y la ciberseguridad también tiene responsabilidades. La industria debe compartir inteligencia procesable cuando esté legalmente permitido, poner a prueba los programas gubernamentales con comentarios sinceros y apoyar la reautorización de la Ley de Intercambio de Información sobre Ciberseguridad de 2015.

Todos debemos hacer nuestra parte. Cada día que pasa sin que enfrentemos estas preguntas críticas es un regalo para nuestros adversarios. Esto sólo se verá exacerbado por los avances en la IA. Tenemos la esperanza de que la publicación de la Estrategia Cibernética Nacional de esta administración genere debates y decisiones muy necesarios sobre el papel del gobierno y la industria en el avance de la ciberseguridad y la resiliencia de nuestra nación.

Cynthia Kaiser es vicepresidenta senior del Centro de investigación de ransomware de Halcyon. Anteriormente fue subdirectora de la división cibernética del FBI..

Matt Hartman se desempeña como director de estrategia en Merlin Group, donde se concentra en identificar, acelerar y escalar la entrega de tecnologías cibernéticas transformadoras al sector público y a las industrias críticas. Antes de ocupar este puesto, Matt pasó los últimos cinco años como funcionario senior de carrera en ciberseguridad en la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) dentro del Departamento de Seguridad Nacional.

El ciudadano ruso Evgenii Ptitsyn. se declaró culpable para dirigir el equipo de ransomware Phobos que extorsionó más de 39 millones de dólares a más de 1.000 víctimas en todo el mundo, dijo el Departamento de Justicia el miércoles.

Ptitsyn asumió un papel de liderazgo en el grupo de ransomware Phobos en enero de 2022, pero sus actividades delictivas comenzaron en abril de 2019, según registros judiciales. Continuó liderando el sindicato del cibercrimen hasta mayo de 2024, cuando fue arrestado en Corea del Sur. Ptitsyn fue extraditado a Estados Unidos en noviembre de 2025.

Los fiscales federales retiraron múltiples cargos contra Ptitsyn como parte de un acuerdo de culpabilidad que firmó el mes pasado. Se enfrenta a hasta 20 años de prisión por conspiración para fraude electrónico.

Ptitsyn acordó perder 1,77 millones de dólares en activos y debe pagar al menos 39,3 millones de dólares en restitución, lo que representa el monto total de las pérdidas de sus víctimas.

El hombre de 43 años se declaró culpable de participar en un plan global de ransomware con cómplices a partir de noviembre de 2020. Ptitsyn y sus presuntos asociados distribuyeron el ransomware Phobos a otros cómplices que irrumpieron en las redes de las víctimas, a menudo con credenciales robadas, para robar y cifrar datos, que utilizaron para extorsionar a las víctimas a cambio de pagos.

Los administradores del ransomware Phobos operaban un sitio para coordinar la venta y distribución del ransomware Phobos a los cómplices. Los afiliados que atacaron con éxito a las víctimas con el ransomware pagaron 300 dólares a los administradores por una clave de descifrado única.

Ptitsyn controlaba múltiples carteras de criptomonedas que recibían miles de tarifas de claves de descifrado de afiliados que utilizaban Phobos para extorsionar a las víctimas. Recibió el 25% del pago de la clave de descifrado y, en ocasiones, recibió una parte de los pagos del ransomware.

«Ptitsyn y otros fueron responsables de docenas de ataques de ransomware contra víctimas estadounidenses, incluidas empresas de atención médica, hospitales, instituciones educativas y proveedores de servicios esenciales», dijeron los fiscales federales en una estipulación de hechos en su acuerdo de declaración de culpabilidad.

Las víctimas del ransomware Phobos pagaron una cantidad colectiva de 30 millones de dólares en rescates, según el valor en el momento del pago, según registros judiciales. Las víctimas también sufrieron pérdidas de al menos 9,3 millones de dólares por los ataques del ransomware Phobos, incluida una institución educativa estadounidense que informó pérdidas superiores a los 4 millones de dólares.

«Ptitsyn y otros miembros de la conspiración del ransomware Phobos lanzaron ataques de ransomware contra más de 1.000 víctimas en todo el mundo, incluidas al menos 890 víctimas ubicadas en los Estados Unidos», dijeron los fiscales.

Los funcionarios proporcionaron detalles sobre 15 víctimas estadounidenses anónimas que pagaron un rescate combinado de 536.000 dólares en el momento del pago. Entre las víctimas se encontraban una empresa con sede en Maryland que brindaba servicios de contabilidad y consultoría a agencias federales, un contratista de los Departamentos de Defensa y Energía con sede en Illinois y un hospital infantil en Carolina del Norte.

Puede leer los hechos ingresados ​​en los registros judiciales como parte del acuerdo de declaración de culpabilidad de Ptitsyn a continuación.