Một dòng lệnh, mất cả hệ thống: Cách mã độc Slopoly do AI hỗ trợ giúp hacker kiểm soát máy tính nạn nhân

[Duy Linh]

Nhóm Hive0163 đang thử nghiệm một khung mã độc mới có tên Slopoly, được cho là tạo ra bằng mô hình ngôn ngữ lớn (LLM). Dù không quá phức tạp, Slopoly cho thấy tin tặc có thể nhanh chóng xây dựng và tùy chỉnh hệ thống điều khiển từ xa (C2) phục vụ tấn công.

IBM phát hiện phần mềm độc hại do AI tạo ra có tên 'Slopoly', có liên quan đến phần mềm tống tiền Hive0163.
Nhóm này vốn có động cơ tài chính và từng liên quan đến nhiều chiến dịch ransomware quy mô lớn, sử dụng mã độc Interlock để đánh cắp dữ liệu và tống tiền.

Kho công cụ của chúng ngày càng mở rộng, bao gồm:

• NodeSnake
• InterlockRAT
• JunkFiction loader
• Interlock ransomware

Các công cụ này giúp duy trì truy cập, di chuyển ngang trong hệ thống và mã hóa dữ liệu trên diện rộng.

Theo điều tra của IBM X-Force đầu năm 2026, nhóm đã triển khai nhiều lớp cửa hậu trước khi đưa Slopoly vào giai đoạn cuối, cho thấy chúng đang thử nghiệm mã độc do AI tạo ra trong môi trường tấn công thực tế.

Đáng chú ý, xu hướng này phù hợp với báo cáo từ Unit 42, khi các nhóm ransomware đang tích hợp AI để tăng hiệu quả, thay vì thay thế hoàn toàn công cụ cũ.

Chuỗi tấn công và cách Slopoly hoạt động​

Các nhà phân tích phát hiện Slopoly dưới dạng một script PowerShell đóng vai trò máy khách C2 trên hệ thống bị xâm nhập.

Sơ đồ lây nhiễm đơn giản hóa (Nguồn: IBM X-Force).
Cuộc tấn công bắt đầu từ kỹ thuật xã hội ClickFix, lừa nạn nhân chạy lệnh PowerShell độc hại qua hộp thoại Run của Windows.

Sau khi xâm nhập:

• Script được lưu tại:
  C:\ProgramData\Microsoft\Windows\Runtime\
• Duy trì bằng tác vụ theo lịch “Runtime Broker”
• Cho phép tin tặc kiểm soát hệ thống hơn một tuần

Đoạn trích đã được biên tập lại từ kịch bản Slopoly (Nguồn: IBM X-Force).
Slopoly có các đặc điểm giống mã do AI tạo:

• Chú thích chi tiết
• Ghi log đầy đủ
• Xử lý lỗi rõ ràng
• Tên biến dễ hiểu

Nó hoạt động bằng cách:

• Gửi tín hiệu “heartbeat” dạng JSON tới máy chủ C2
• Nhận lệnh qua HTTP và thực thi bằng cmd.exe
• Ghi log vào file persistence.log

Dù đơn giản, nó vẫn là một cửa hậu hiệu quả.

Chuỗi tấn công tiếp theo:

1. Triển khai NodeSnake (C2 NodeJS)
2. Tải InterlockRAT (WebSocket, SOCKS5, reverse shell)
3. Phát tán ransomware Interlock qua JunkFiction

Ngoài ra, tin tặc còn dùng:

• AzCopy để đánh cắp dữ liệu
• Advanced IP Scanner để do thám mạng

Ransomware Interlock sẽ:

• Quét toàn bộ ổ đĩa
• Bỏ qua file hệ thống quan trọng
• Mã hóa dữ liệu bằng AES-GCM
• Bảo vệ khóa bằng RSA
• Đổi đuôi file và để lại file đòi tiền chuộc

Nó cũng có thể dừng tiến trình đang sử dụng file để đảm bảo mã hóa thành công, sau đó xóa dấu vết.

Chức năng mã hóa tập tin liên kết (Nguồn: IBM X-Force).
Slopoly không phải công nghệ quá tiên tiến, nhưng điểm đáng lo là tốc độ tạo ra mã độc “đủ dùng” nhờ AI. Điều này giúp tin tặc:

• Rút ngắn thời gian phát triển
• Giảm rào cản kỹ thuật
• Mở rộng quy mô tấn công

Theo IBM X-Force, dù có thể được tạo bởi một LLM chưa quá mạnh, Slopoly vẫn đủ khả năng vượt qua nhiều lớp bảo vệ và được triển khai trong chiến dịch thực tế.

Khi AI ngày càng dễ tiếp cận, các đội phòng thủ buộc phải nâng cấp phương pháp phát hiện và ứng phó, vì mã độc tương lai sẽ:

• Xuất hiện nhanh hơn
• Khó phân loại hơn
• Và thay đổi liên tục theo từng chiến dịch

(gbhackers)
Đọc chi tiết tại đây: https://gbhackers.com/ai-generated-malware/

 

Được phối hợp thực hiện bởi các chuyên gia của Bkav, cộng đồng An ninh mạng Việt Nam WhiteHat và cộng đồng Khoa học công nghệ VnReview