كشف فريق IBM X-Force عن سلالة برمجيات خبيثة جديدة، يُعتقد أنها مولدة باستخدام الذكاء الاصطناعي، حملت اسم “Slopoly”، والتي تم استخدامها في هجوم فدية نفذته مجموعة التهديد السيبراني Hive0163. يأتي هذا الاكتشاف في أوائل عام 2026، ليبرز التطور المتزايد في استخدام التقنيات المتقدمة من قبل الجهات الإجرامية.
تركز مجموعة Hive0163 بشكل أساسي على سرقة كميات كبيرة من البيانات ونشر برامج الفدية، معتمدة على ترسانة متنامية من الأدوات المطورة خصيصاً للبقاء داخل الشبكات المستهدفة لفترات طويلة. يشير هذا التحرك إلى قدرة المهاجمين على بناء أدوات هجومية بسرعة وبتكلفة أقل، مستفيدين من تقنيات الذكاء الاصطناعي.
تُعرف Hive0163 بأنها مجموعة من المهاجمين تقف وراء العديد من هجمات الفدية البارزة عالمياً، والتي غالباً ما تستخدم متغير برنامج الفدية Interlock. تشمل أدواتهم برامج تشفير خاصة وبرمجيات خبيثة من نوع “الباب الخلفي” (backdoor)، مثل NodeSnake و InterlockRAT و JunkFiction loader، المصممة لتأمين وصول طويل الأمد إلى الأنظمة المخترقة.
استخدمت المجموعة في السابق هجمات ClickFix والإعلانات الضارة للوصول الأولي، كما يُشاع أنها تتعاون مع وسطاء وصول أولي للوصول إلى أهدافها، مما يجعل Hive0163 واحدة من أكثر مجموعات برامج الفدية نشاطًا وترابطًا حاليًا.
برمجيات Slopoly الخبيثة والتوليد بالذكاء الاصطناعي
تم اكتشاف Slopoly بواسطة محللي IBM أثناء تعرضهم لهجوم فدية حي، حيث وُجدت البرمجية الخبيثة مثبتة على خادم مصاب بالفعل. عملت Slopoly كعنصر عميل لإطار عمل قيادة وتحكم (C2) مخصص، وتم وضعها في المسار C:ProgramDataMicrosoftWindowsRuntime مع تعيين استمراريتها عبر مهمة مجدولة باسم “Runtime Broker”.
استخدمت Hive0163 برمجية Slopoly للحفاظ على الوصول إلى الخادم المصاب لأكثر من أسبوع، على الرغم من عدم استعادة الأوامر المحددة التي تم تنفيذها خلال تلك الفترة. تحمل بنية النص البرمجي لـ Slopoly علامات واضحة على التوليد بالذكاء الاصطناعي، حيث يتميز بتعليقات شاملة، ومعالجة متسقة للأخطاء، ومتغيرات بأسماء واضحة، وكلها سمات لكود مكتوب بواسطة نماذج اللغة الكبيرة.
يحتوي النص البرمجي أيضاً على وظيفة “Jitter” غير مستخدمة، والتي ربما تكون قد تُرِكت من عملية تطوير تكرارية للذكاء الاصطناعي. بالرغم من أن تعليقاته تصفه بأنه “عميل استمرارية C2 متعدد الأشكال” (Polymorphic C2 Persistence Client)، إلا أن البرمجية الخبيثة لا تستطيع تعديل كودها أثناء التنفيذ، مما يجعل هذا الوصف مضللاً وغير دقيق تقنياً. لم تتمكن IBM X-Force من تحديد نموذج الذكاء الاصطناعي الذي أنتج Slopoly، لكن جودتها الإجمالية تشير إلى أداة أقل تقدماً.
إن التأثير الأوسع لهذا الاكتشاف يتجاوز التفاصيل التقنية. تُظهر Slopoly أن المهاجمين لم يعودوا بحاجة إلى معرفة برمجية عميقة لإنشاء برمجيات خبيثة عاملة؛ فالذكاء الاصطناعي يمكنه الآن القيام بالكثير من هذا العمل. لاحظت وحدة Palo Alto Unit 42 في تقريرها العالمي للاستجابة للحوادث لعام 2026، والذي نُشر بعد فترة وجيزة، أنماطًا مماثلة لاعتماد الذكاء الاصطناعي في حملات برامج الفدية، مما يؤكد أن هذا الاتجاه يكتسب زخماً عبر مشهد التهديدات الأوسع.
نقطة الدخول ClickFix وسلسلة الهجوم
بدأ الاختراق بهجوم ClickFix، وهو تقنية هندسة اجتماعية تتلاعب بالضحايا لتشغيل نص برمجي ضار من PowerShell بأنفسهم. يعرض المهاجمون صفحة تحقق زائفة تشبه CAPTCHA، والتي تقوم سراً بتخزين أمر خبيث في حافظة المستخدم، ثم تطلب منه الضغط على Win+R، ولصق المحتوى، والضغط على Enter، مما يؤدي إلى تشغيل البرمجية الخبيثة دون علمه.
أدى هذا الوصول الأولي إلى سلسلة انتشار طبقات. تم تثبيت NodeSnake، وهو باب خلفي قائم على Node.js، أولاً، متصلاً بخادم C2 عبر طلبات HTTP POST. تبع ذلك InterlockRAT الأكثر قدرة، مضيفاً اتصالات WebSocket، ونفق SOCKS5، وصدفة عكسية (reverse shell). دخلت Slopoly بعد ذلك خلال المراحل المتأخرة من الهجوم، إلى جانب أدوات ما بعد الاستغلال (post-exploitation) مثل AzCopy و Advanced IP Scanner. تم استضافة خادم C2 الخاص بـ Slopoly في plurfestivalgalaxy[.]com (94.156.181[.]89)، والذي عرض لوحة تسجيل دخول طوال فترة نشاطه.
يجب أن تتجه فرق الأمن نحو أساليب الكشف القائمة على السلوك، حيث غالباً ما تتجاوز البرمجيات الخبيثة المولدة بالذكاء الاصطناعي الأدوات القائمة على التوقيع التي تعتمد على أنماط معروفة. تنصح IBM X-Force المدافعين بتطبيق حمايات ضد هجمات ClickFix، مثل تعطيل اختصار Win+R أو مراقبة مفتاح التسجيل RunMRU بحثًا عن إدخالات غير عادية.
يتم تشجيع المدافعين أيضاً على البحث بنشاط في بيئاتهم عن مؤشرات الاختراق المرتبطة بـ Hive0163، بما في ذلك نطاق C2 الخاص بـ Slopoly plurfestivalgalaxy[.]com (لم يعد نشطًا)، وعنوان IP الخاص به 94.156.181[.]89، وعناوين IP إضافية لـ C2: 77.42.75[.]119، 23.227.203[.]123، و 172.86.68[.]64.