{"id":238,"date":"2026-03-12T19:38:00","date_gmt":"2026-03-12T19:38:00","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/12\/hive0163-utiliza-malware-slopoly-asistido-por-ia-para-acceso-persistente-en-ataques-de-ransomware-cyberdefensa-mx\/"},"modified":"2026-03-12T19:38:00","modified_gmt":"2026-03-12T19:38:00","slug":"hive0163-utiliza-malware-slopoly-asistido-por-ia-para-acceso-persistente-en-ataques-de-ransomware-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/12\/hive0163-utiliza-malware-slopoly-asistido-por-ia-para-acceso-persistente-en-ataques-de-ransomware-cyberdefensa-mx\/","title":{"rendered":"Hive0163 utiliza malware Slopoly asistido por IA para acceso persistente en ataques de ransomware \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Investigadores de ciberseguridad han revelado detalles de un presunto malware generado por inteligencia artificial (IA) con nombre en c\u00f3digo Slopoly<\/strong> puesto en uso por un actor de amenazas motivado financieramente llamado colmena0163<\/strong>.<\/p>\n

\u00abAunque todav\u00eda no es nada espectacular, el malware generado por IA como Slopoly muestra con qu\u00e9 facilidad los actores de amenazas pueden utilizar la IA como arma para desarrollar nuevos marcos de malware en una fracci\u00f3n del tiempo que sol\u00eda llevar\u00bb, Golo M\u00fchr, investigador de IBM X-Force dicho<\/a> en un informe compartido con The Hacker News.<\/p>\n

Las operaciones de Hive0163 est\u00e1n impulsadas por la extorsi\u00f3n mediante exfiltraci\u00f3n de datos a gran escala y ransomware. El grupo de delitos electr\u00f3nicos est\u00e1 asociado principalmente con una amplia gama de herramientas maliciosas, incluidas NodeSnake, Interlock RAT, JunkFiction Loader y Interlock ransomware.<\/p>\n

En un ataque de ransomware observado por la empresa a principios de 2026, se observ\u00f3 que el actor de amenazas implementaba Slopoly durante la fase posterior a la explotaci\u00f3n para mantener el acceso persistente al servidor comprometido durante m\u00e1s de una semana.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

El descubrimiento de Slopoly se remonta a un script de PowerShell que probablemente se implement\u00f3 mediante un constructor, que tambi\u00e9n estableci\u00f3 la persistencia a trav\u00e9s de una tarea programada llamada \u00abRuntime Broker\u00bb.<\/p>\n

Hay indicios de que el malware se desarroll\u00f3 con la ayuda de un modelo de lenguaje grande (LLM) a\u00fan indeterminado. Esto incluye la presencia de comentarios extensos, registros, manejo de errores y variables con nombres precisos. Los comentarios tambi\u00e9n describen el script como un \u00abCliente de persistencia C2 polim\u00f3rfico\u00bb, lo que indica que es parte de un marco de comando y control (C2).<\/p>\n

\u00abSin embargo, el script no posee t\u00e9cnicas avanzadas y dif\u00edcilmente puede considerarse polim\u00f3rfico, ya que no puede modificar su propio c\u00f3digo durante la ejecuci\u00f3n\u00bb, se\u00f1ala M\u00fchr. \u00abSin embargo, el creador puede generar nuevos clientes con diferentes valores de configuraci\u00f3n aleatorios y nombres de funciones, lo cual es una pr\u00e1ctica est\u00e1ndar entre los creadores de malware\u00bb.<\/p>\n

El script de PowerShell funciona como una puerta trasera completa que puede enviar un mensaje de latido que contiene informaci\u00f3n del sistema a un servidor C2 cada 30 segundos, sondear un nuevo comando cada 50 segundos, ejecutarlo a trav\u00e9s de \u00abcmd.exe\u00bb y transmitir los resultados al servidor. Actualmente se desconoce la naturaleza exacta de los comandos ejecutados en la red comprometida.<\/p>\n

\"\"<\/a><\/div>\n

Se dice que el ataque en s\u00ed aprovech\u00f3 la t\u00e1ctica de ingenier\u00eda social ClickFix para enga\u00f1ar a una v\u00edctima para que ejecute un comando de PowerShell, que luego descarga NodeSnake, un conocido malware atribuido a Hive0163. Un componente de primera etapa, NodeSnake, est\u00e1 dise\u00f1ado para ejecutar comandos de shell, establecer persistencia y recuperar y lanzar un marco de malware m\u00e1s amplio conocido como Interlock RAT.<\/p>\n

Hive0163 tiene un historial de empleo de ClickFix y publicidad maliciosa para el acceso inicial. Otro m\u00e9todo que utiliza el actor de amenazas para establecerse es confiar en corredores de acceso inicial como TA569 (tambi\u00e9n conocido como SocGholish) y TAG-124 (tambi\u00e9n conocido como KongTuke y LandUpdate808). <\/p>\n

El marco tiene m\u00faltiples implementaciones en PowerShell, PHP, C\/C++, Java y JavaScript para admitir tanto Windows como Linux. Al igual que NodeSnake, tambi\u00e9n se comunica con un servidor remoto para obtener comandos que le permitan iniciar un t\u00fanel proxy SOCKS5, generar un shell inverso en la m\u00e1quina infectada y entregar m\u00e1s cargas \u00fatiles, como Interlock ransomware y Slopoly.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

La aparici\u00f3n de Slopoly se suma a una lista cada vez mayor de malware asistido por IA, que tambi\u00e9n incluye VoidLink y PromptSpy, lo que pone de relieve c\u00f3mo los delincuentes est\u00e1n utilizando la tecnolog\u00eda para acelerar el desarrollo de malware y escalar sus operaciones.<\/p>\n

\u00abLa introducci\u00f3n de malware generado por IA no representa una amenaza nueva o sofisticada desde un punto de vista t\u00e9cnico\u00bb, dijo IBM X-Force. \u00abPermite desproporcionadamente a los actores de amenazas al reducir el tiempo que un operador necesita para desarrollar y ejecutar un ataque\u00bb.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Investigadores de ciberseguridad han revelado detalles de un presunto malware generado por inteligencia artificial (IA) con nombre en c\u00f3digo Slopoly puesto en uso por un actor de amenazas motivado financieramente llamado colmena0163. \u00abAunque todav\u00eda no es nada espectacular, el malware generado por IA como Slopoly muestra con qu\u00e9 facilidad los actores de amenazas pueden utilizar […]<\/p>\n","protected":false},"author":1,"featured_media":108,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[68,829,233,24,827,60,36,830,127,508,828,216],"class_list":["post-238","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-acceso","tag-asistido","tag-ataques","tag-cyberdefensa-mx","tag-hive0163","tag-malware","tag-para","tag-persistente","tag-por","tag-ransomware","tag-slopoly","tag-utiliza"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/238","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=238"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/238\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/108"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=238"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=238"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=238"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}