Backdoor em PowerShell foi usado após a exploração para manter acesso a servidor comprometido, com comunicação periódica de C2, execução de comandos e ligação com NodeSnake, Interlock RAT e Interlock ransomware.
| Componente | Slopoly, backdoor em PowerShell associado ao ator financeiramente motivado Hive0163 e usado junto a NodeSnake, Interlock RAT e Interlock ransomware. |
| Vetor | A cadeia observada começou com engenharia social do tipo ClickFix, induzindo a vítima a executar um comando PowerShell operacional omitido que baixou NodeSnake antes da entrega de componentes adicionais. |
| Impacto | Slopoly manteve acesso persistente a um servidor comprometido por mais de uma semana, enviou informações do sistema a um C2, buscou comandos periodicamente, executou ações via comando operacional omitido e retornou resultados ao operador. |
| Prioridade | Investigar execução incomum de PowerShell, tarefas agendadas chamadas Runtime Broker, artefatos em C:\ProgramData\Microsoft\Windows\Runtime\, tráfego C2 periódico e sinais de NodeSnake ou Interlock em servidores Windows e Linux. |
| Artefatos | Script PowerShell implantado provavelmente por um builder, persistência por tarefa agendada, comentários extensos, logging, tratamento de erros e nomes de variáveis que sugerem assistência de modelo de linguagem. |
| Limite conhecido | Os comandos executados no ambiente comprometido não foram detalhados; a atividade confirmada sustenta persistência, comunicação de C2, execução remota de comandos e apoio a operações de extorsão e ransomware. |
Hive0163 foi observado usando o malware Slopoly durante a fase pós-exploração de um ataque de ransomware no início de 2026. O uso ocorreu depois do comprometimento inicial e teve como finalidade manter acesso persistente a um servidor por mais de uma semana. A operação se encaixa no perfil financeiro do grupo, que combina extorsão, exfiltração de dados em larga escala e implantação de ransomware, com um conjunto de ferramentas que inclui NodeSnake, Interlock RAT, JunkFiction loader e Interlock ransomware.
Slopoly é descrito como um backdoor em PowerShell com sinais de desenvolvimento assistido por IA. Os indícios não tornam o malware tecnicamente avançado por si só, mas mostram um padrão de automação de desenvolvimento: comentários extensos, mensagens de log, tratamento de erros e variáveis nomeadas de forma precisa. O próprio script se apresenta como um cliente de persistência C2 polimórfico, embora a análise técnica indique que ele não modifica o próprio código durante a execução. A possível variação entre amostras parece depender de um builder que gera clientes com configurações e nomes de funções randomizados, comportamento comum em construtores de malware.
A cadeia observada começa com a técnica ClickFix, na qual a vítima é convencida a executar uma ação apresentada como correção ou verificação, resultando na execução de um comando PowerShell operacional omitido. Esse estágio baixa NodeSnake, malware já atribuído ao mesmo ator. NodeSnake atua como componente inicial capaz de executar comandos de shell, criar persistência e recuperar uma estrutura mais ampla identificada como Interlock RAT.
A partir desse ponto, o ecossistema Interlock fornece capacidade de comando e controle em múltiplas linguagens, incluindo PowerShell, PHP, C/C++, Java e JavaScript, com suporte a Windows e Linux. O framework se comunica com servidor remoto para buscar comandos, abrir túnel SOCKS5, criar reverse shell na máquina infectada e entregar payloads adicionais. Entre esses payloads estão Interlock ransomware e Slopoly, o que posiciona Slopoly como uma peça de manutenção de acesso dentro de uma intrusão que pode evoluir para extorsão e cifragem.
O script Slopoly provavelmente é colocado em C:\ProgramData\Microsoft\Windows\Runtime\ por meio de um builder. A persistência é configurada com uma tarefa agendada chamada Runtime Broker, nome que tenta se misturar a componentes legítimos do Windows. Depois de ativo, o backdoor envia uma mensagem de heartbeat a cada 30 segundos com informações do sistema para um servidor C2, consulta novos comandos a cada 50 segundos, executa as instruções recebidas por meio de comando operacional omitido e devolve os resultados ao operador.
O ponto técnico mais importante para defesa é que o uso de IA não altera a classe de risco principal: trata-se de persistência, C2 e execução remota de comandos. A novidade operacional está na redução de esforço para gerar clientes e variantes. Mesmo sem técnicas avançadas de polimorfismo em tempo de execução, um builder assistido pode acelerar ajustes de configuração, nomes internos e lógica de tratamento de erro, dificultando dependência exclusiva de assinaturas estáticas frágeis.
A superfície exposta inclui servidores nos quais usuários ou operadores administrativos possam ser induzidos pela técnica ClickFix a executar PowerShell, além de ambientes nos quais tarefas agendadas e diretórios sob C:\ProgramData\Microsoft\Windows\Runtime\ não sejam monitorados com rigor. Como o encadeamento envolve NodeSnake, Interlock RAT e componentes com implementações em várias linguagens, a investigação não deve ficar limitada a um único tipo de binário ou a um único sistema operacional.
Windows é central no estágio Slopoly descrito, principalmente pelo uso de PowerShell, comando operacional omitido, caminho em C:\ProgramData e tarefa agendada. Ainda assim, a operação mais ampla do framework Interlock também suporta Linux, o que exige correlação entre telemetria de endpoint, rede e identidade em ambientes híbridos. Em servidores, o risco se concentra na manutenção de acesso por longo período, execução de comandos sob contexto comprometido e preparação para payloads posteriores.
- Servidores Windows com execução recente de PowerShell iniciada por interação do usuário ou por processo incomum.
- Tarefas agendadas chamadas
Runtime Brokerfora do padrão esperado do ambiente. - Arquivos ou scripts recém-criados em
C:\ProgramData\Microsoft\Windows\Runtime\. - Ativos com evidências de NodeSnake, Interlock RAT, túneis SOCKS5, reverse shell ou entrega posterior de ransomware.
- Ambientes Linux que compartilham infraestrutura, credenciais, sessões ou canais de administração com sistemas afetados pela estrutura Interlock.
A busca defensiva deve começar por eventos de criação e execução de PowerShell associados a diretórios graváveis por administradores ou por contas comprometidas. O padrão ClickFix tende a deixar rastros de execução manual induzida, portanto é útil correlacionar processos de navegador, prompts de usuário, PowerShell e conexões de saída próximas no tempo. Como o comando inicial não deve ser reutilizado como instrução operacional, a triagem deve focar em origem do processo, parâmetros anômalos resumidos, destino de download, criação de arquivo e execução subsequente.
Para Slopoly, a telemetria mais relevante é a combinação de persistência por tarefa agendada, execução de comando operacional omitido iniciada por PowerShell e comunicação periódica de rede com intervalos próximos a 30 e 50 segundos. O heartbeat com informações do sistema pode aparecer como requisições regulares para infraestrutura externa, enquanto a busca de comandos pode produzir conexões curtas repetidas. O retorno de resultados ao C2 pode gerar tráfego de saída logo após a execução de comandos locais.
Também é necessário procurar sinais de encadeamento com NodeSnake e Interlock RAT. A presença de túnel SOCKS5, reverse shell, payloads adicionais ou atividade de ransomware deve ser tratada como evidência de progressão pós-comprometimento, não como infecção isolada. Como os comandos executados no ambiente observado não foram detalhados, o hunting deve reconstruir linha do tempo a partir de eventos de processo, criação de tarefas, conexões, gravação de arquivos e autenticações laterais sem presumir etapas não comprovadas.
- Criação ou alteração de tarefa agendada
Runtime Brokerem servidores críticos. - PowerShell criando arquivos em
C:\ProgramData\Microsoft\Windows\Runtime\ou executando comando operacional omitido sem justificativa administrativa. - Conexões externas periódicas compatíveis com beacon de 30 segundos ou polling de 50 segundos.
- Sequência navegador, PowerShell, download de componente e execução posterior em intervalo curto.
- Sinais de túnel SOCKS5, reverse shell, Interlock RAT, NodeSnake ou entrega de payload de ransomware.
- Logs com mensagens incomuns de erro, logging detalhado ou nomes de funções variáveis em scripts PowerShell suspeitos.
A resposta deve tratar a descoberta de Slopoly como intrusão ativa com possibilidade de ransomware, não como artefato isolado. O primeiro passo defensivo é conter os servidores com indícios de beacon, tarefa agendada suspeita ou execução de comandos por PowerShell, preservando evidências de processo, memória quando aplicável, tarefas agendadas, arquivos em disco e conexões recentes. A remoção direta sem coleta mínima pode apagar a linha do tempo necessária para entender se NodeSnake, Interlock RAT ou ransomware já foram entregues.
Depois da contenção, as equipes devem remover persistências confirmadas, bloquear infraestrutura C2 identificada de forma segura, revisar contas usadas nos servidores afetados e rotacionar credenciais expostas ao host comprometido. Como Hive0163 também usa malvertising, ClickFix e brokers de acesso inicial como TA569/SocGholish e TAG-124/KongTuke/LandUpdate808, a remediação precisa cobrir tanto o endpoint quanto o caminho de acesso inicial. Isso inclui revisar navegação recente, downloads, prompts de execução, políticas de script, controles de execução e permissões administrativas.
A validação final deve confirmar ausência de tarefas agendadas suspeitas, ausência de beacon periódico, inexistência de novos scripts no caminho observado e nenhuma execução posterior de comando operacional omitido disparada por PowerShell sem mudança aprovada. Em paralelo, é recomendável fortalecer alertas para abuso de PowerShell, bloquear execução de scripts não autorizados, reduzir privilégios administrativos interativos em servidores e aplicar segmentação para limitar o valor operacional de um túnel SOCKS5 ou reverse shell caso um novo host seja comprometido.
- Isolar hosts com Slopoly, NodeSnake ou Interlock antes de qualquer limpeza ampla.
- Preservar tarefas agendadas, scripts, eventos de processo, conexões de rede e autenticações para reconstrução da intrusão.
- Remover a tarefa
Runtime Brokersomente após coleta e confirmação de escopo. - Bloquear destinos C2 de forma defangada nos controles internos e revisar tráfego histórico para o mesmo padrão.
- Rotacionar credenciais usadas em servidores comprometidos ou acessíveis a partir deles.
- Reforçar políticas de PowerShell, controle de execução de scripts, EDR e alertas para diretórios graváveis como
C:\ProgramData.
0 Comentários