Slopoly : Hive0163 déploie un malware généré par IA

Slopoly : quand l'IA générative écrit le code des ransomwares

IBM X-Force a publié le 25 mars 2026 un rapport documentant la découverte de Slopoly, un nouveau backdoor identifié lors d'un incident ransomware début 2026. Le malware a été attribué à Hive0163, le groupe criminel opérateur du ransomware Interlock, déjà connu pour ses attaques contre les institutions financières et sa chaîne d'infection reposant sur ClickFix et la malvertising. Ce qui distingue Slopoly des backdoors habituels, c'est son origine présumée : les analystes IBM X-Force ont identifié dans le code des marqueurs caractéristiques d'une génération par modèle de langage large (LLM). Le code contient d'abondants commentaires inline explicatifs, une journalisation verbeuse de chaque étape, une gestion des erreurs structurée et des noms de variables particulièrement descriptifs — l'exact opposé du style concis et obfusqué habituel des auteurs de malwares expérimentés. L'en-tête du fichier source se désigne lui-même comme un "Polymorphic C2 Persistence Client", appellation ronflante mais inexacte puisque le malware ne présente aucune capacité polymorphique réelle à l'exécution. Ces indices convergent vers un code généré ou fortement assisté par un LLM et adapté pour l'opération spécifique.

Hive0163 a utilisé Slopoly pour maintenir un accès persistant à un serveur compromis pendant plus d'une semaine avant de déployer le ransomware Interlock. La progression de l'infection suit le schéma classique du groupe : initial access via TA569/SocGholish ou TAG-124/KongTuke, déploiement de NodeSnake et Interlock RAT, puis Slopoly comme couche de persistence additionnelle. Pour le contexte d'Interlock, voir notre analyse du vecteur d'accès Cisco FMC exploité par ce groupe.

Ce que Slopoly révèle sur l'évolution de la menace IA en cybersécurité

Techniquement, Slopoly n'est pas sophistiqué : il agit comme un client C2 qui collecte des données système, envoie des balises JSON périodiques ("heartbeats") à un serveur distant, exécute des commandes via cmd.exe, et maintient sa persistance via une tâche planifiée nommée "Runtime Broker" placée dans C:\ProgramData\Microsoft\Windows\Runtime\. Ces fonctionnalités sont banales. L'intérêt n'est pas dans la technique, mais dans ce que la découverte révèle sur la maturité opérationnelle des acteurs malveillants face à l'IA générative.

L'IA permet désormais à des groupes de faible à moyenne capacité technique de produire rapidement des outils sur mesure, adaptés à une opération précise, en quelques heures plutôt que plusieurs jours. Le code n'a pas besoin d'être brillant pour être efficace : Slopoly a fonctionné pendant plus d'une semaine sans être détecté. Ce seuil "suffisamment bon" est ce qui rend la tendance inquiétante à long terme. Cette évolution rejoint les réflexions autour de la montée en autonomie des agents IA et de leurs risques associés, et soulève des questions similaires à celles posées par les outils d'agents déployés en production — la frontière entre outil légitime et vecteur d'attaque devient de plus en plus mince.

Ce qu'il faut retenir sur la menace du malware assisté par IA

• Hive0163 est parmi les premiers groupes ransomware confirmés à avoir déployé un backdoor généré par IA dans une opération réelle contre des cibles financières.
• Les défenseurs doivent anticiper une augmentation du volume et de la variété des outils d'attaque custom, puisque l'IA réduit le coût de développement à presque zéro.
• Les indicateurs de compromission (IOC) de Slopoly sont disponibles dans le rapport complet IBM X-Force : hashes, domaines C2, et nom de la tâche planifiée.