Sloply, il malware che nessuno può riconoscere: arriva il malware agentico

I ricercatori di IBM X-Force hanno scoperto qualcosa che aspettavano da tempo: un malware probabilmente generato da un modello linguistico di grandi dimensioni, usato in un attacco ransomware vero. Non in laboratorio, non in una simulazione:  un’intrusione contro un’azienda reale.C’è un malinteso che circola nelle sale riunioni e nei SOC di mezza Italia. Suona così: il malware sta diventando più intelligente. Sbagliato. Il malware sta diventando più veloce da scrivere, che è peggio.

Perché un codice malevolo più intelligente lo studi, lo cataloghi, lo neutralizzi, un codice malevolo che nasce, colpisce e muore in poche ore, diverso ogni volta, rende inutile l’intero sistema di difesa basato sulle firme. Quel sistema che protegge ancora la maggior parte delle aziende italiane.

Slopoly: il primo malware generato dall’AI in un attacco reale

Lo hanno chiamato Slopoly. Il nome è un programma: “sloppy” (sciatto) e “poly” (polimorfico). Perché il codice è grezzo, pieno di commenti, con variabili nominate in modo didascalico. Tutti segni tipici di un output generato da un LLM. Nei propri commenti interni si autodefinisce “Polymorphic C2 Persistence Client”. Ma non lo è davvero: non è in grado di modificare il proprio codice durante l’esecuzione. E allora perché fa paura? Perché non ha bisogno di essere sofisticato, ha bisogno di essere nuovo, ogni volta.

Il malware usa il tempo come arma

Per capire il significato reale di Slopoly bisogna ricostruire il contesto in cui è apparso, perché il dettaglio più rivelatore non è il malware in sé, ma il modo in cui è stato usato e la posizione che occupa nella catena di attacco. Il gruppo responsabile si chiama Hive0163, un cluster di attori criminali a motivazione finanziaria che IBM X-Force traccia da tempo e che opera nell’ecosistema del ransomware Interlock, un’operazione nota per aver colpito organizzazioni di alto profilo tra cui il sistema universitario Texas Tech, la società di dialisi DaVita, la rete ospedaliera Kettering Health e la città di Saint Paul in Minnesota. Non stiamo parlando di dilettanti. Stiamo parlando di professionisti del crimine informatico con una storia operativa consolidata, un arsenale di strumenti proprietari che include backdoor come NodeSnake e InterlockRAT, loader come JunkFiction, e una filiera di accesso iniziale che sfrutta tecniche di social engineering come ClickFix e broker di accesso come TA569 e TAG-124.

L’intrusione analizzata da IBM è cominciata con un attacco ClickFix, quella tecnica di ingegneria sociale in cui la vittima viene convinta a eseguire un comando PowerShell apparentemente innocuo che in realtà installa il primo stadio della catena di compromissione. Da quel momento in poi, gli attaccanti hanno dispiegato NodeSnake, poi InterlockRAT con le sue capacità di tunneling SOCKS5 e reverse shell, poi strumenti di ricognizione come Advanced IP Scanner e AzCopy per il movimento laterale e l’esfiltrazione dei dati. E solo a quel punto, nelle fasi finali dell’operazione, dopo aver già stabilito un accesso profondo e persistente con i loro strumenti collaudati, hanno introdotto Slopoly.

Questo dettaglio è cruciale, e racconta una storia molto diversa da quella che ci si potrebbe aspettare. Hive0163 non ha usato Slopoly perché ne aveva bisogno. Lo ha usato perché lo stava testando. I ricercatori di IBM descrivono il deployment come una sorta di “esercitazione a fuoco vivo”, un test sul campo di un nuovo strumento generato con l’AI inserito in un’operazione reale già in corso, come un pilota che collauda un nuovo sistema di navigazione durante un volo transoceanico che potrebbe tranquillamente completare con la strumentazione tradizionale. Il messaggio implicito è inquietante nella sua chiarezza: i gruppi ransomware non stanno adottando l’AI per disperazione o per colmare lacune tecniche, la stanno sperimentando per curiosità strategica, per capire quanto velocemente possono generare nuovi framework di comando e controllo senza dover investire il tempo e le competenze che servivano fino a ieri.

Palo Alto conferma il malware che si scrive da solo

Per misurare quanto stia accelerando il mondo in cui Slopoly esiste bisogna affiancare il report IBM a un altro documento pubblicato poche settimane prima, il Global Threat Report 2026 di CrowdStrike, che contiene un numero capace di togliere il sonno a chiunque lavori nella sicurezza informatica: 27 secondi. È il breakout time più veloce mai registrato per un’operazione di cybercrime, il tempo che intercorre tra il primo accesso a un sistema e il movimento laterale verso un’altra macchina della stessa rete. Il tempo medio è sceso a 29 minuti nel 2025, con un’accelerazione del 65% rispetto all’anno precedente. In un caso documentato, l’esfiltrazione dei dati è iniziata quattro minuti dopo la compromissione iniziale. Quattro minuti. La maggior parte delle aziende non riesce ad aprire un ticket di supporto in quattro minuti, figuriamoci contenere un’intrusione attiva.

CrowdStrike registra un aumento dell’89% degli attacchi condotti con il supporto dell’intelligenza artificiale, e soprattutto certifica che l’82% delle intrusioni rilevate nel 2025 non utilizzava malware tradizionale. Gli attaccanti entrano con credenziali valide, si muovono usando strumenti di amministrazione legittimi, si confondono con il traffico normale. Quando il malware c’è, come nel caso di Slopoly, non serve per entrare ma per restare, per mantenere un canale di comunicazione con l’infrastruttura di comando e controllo mentre il resto dell’operazione procede con strumenti che i sistemi di sicurezza considerano affidabili.

La convergenza tra questi due report, quello di IBM che documenta il malware scritto dall’AI e quello di CrowdStrike che misura l’accelerazione complessiva degli attacchi, disegna un quadro che non lascia spazio a interpretazioni consolatorie. Non stiamo guardando un’evoluzione lineare della minaccia. Stiamo guardando un cambio di fase, quel momento in cui l’acqua smette di scaldarsi e comincia a bollire, in cui le regole del gioco precedente cessano di funzionare non perché sono state violate, ma perché il gioco stesso è cambiato.

La corsa agli armamenti è già iniziata

Palo Alto Networks, attraverso il suo team di ricerca Unit 42, ha confermato nel proprio report globale sugli incident response del 2026 di aver osservato pattern analoghi a quelli documentati da IBM: l’uso dell’intelligenza artificiale nelle campagne ransomware non è più un’anomalia, ma un segnale di tendenza che diventa ogni settimana più frequente e più strutturato. Slopoly non è un caso isolato. Si aggiunge a una lista crescente di malware sospettati di essere AI-assisted, che include VoidLink e PromptSpy, e IBM stessa avverte che siamo solo nella prima fase di una corsa agli armamenti che ha almeno tre stadi prevedibili. Il primo, quello in cui ci troviamo adesso, è la generazione automatica di codice: gli attaccanti usano modelli linguistici per scrivere malware più velocemente, ma le decisioni operative restano umane. Il secondo stadio, che i ricercatori considerano imminente, prevede l’uso di AI agentica durante l’attacco: modelli che non si limitano a generare codice ma prendono decisioni in tempo reale durante l’intrusione, adattando la strategia in base alle difese che incontrano. Il terzo stadio, che i proof of concept come PromptLock e PROMPTFLUX hanno già delineato, è il malware AI-integrated, software malevolo che incorpora un modello linguistico al suo interno e opera con un livello di autonomia che oggi fatichiamo persino a immaginare nella sua interezza.

La domanda che i ricercatori IBM non pongono esplicitamente ma che permea ogni pagina del loro report è quella che conta di più: quanto tempo resta prima che la seconda fase diventi operativa? La risposta, a giudicare dalla velocità con cui Hive0163 ha integrato la prima fase nel proprio arsenale, è probabilmente meno di quanto vorremmo. Un gruppo criminale che testa malware generato dall’AI durante un attacco reale non lo fa per curiosità accademica. Lo fa perché sta costruendo la propria pipeline del futuro.

Il prossimo passo: malware che prendono decisioni

Se Slopoly è il presente, grezzo ma efficace, il futuro si chiama malware agentico. IBM X-Force lo anticipa nel suo rapporto: la prossima fase è l’uso di AI agentica e malware integrato con modelli AI, capace di prendere decisioni autonome durante tutte le fasi della catena d’attacco. Non più uno script che esegue istruzioni predefinite. Un agente che osserva l’ambiente, valuta le difese, sceglie la strategia migliore, cambia tattica se qualcosa non funziona.

Pensateci: un malware che durante l’attacco decide se esfil​trare dati o cifrare i sistemi. Che riconosce un honeypot e lo evita. Che adatta il proprio comportamento al tipo di rete in cui si trova. Non è fantascienza. È la naturale evoluzione di ciò che già vediamo oggi.

Mentre i criminali accelerano, il 90% delle violazioni analizzate da Unit 42 è stato reso possibile da bug prevedibili: configurazioni errate, controlli incoerenti, fiducia eccessiva nelle identità digitali, non servono exploit sofisticati quando la porta è già aperta.

La sicurezza informatica italiana è costruita in larga parte su un principio: riconoscere ciò che si è già visto: firme, hash, pattern noti… un sistema che ha funzionato per decenni. Quel sistema è finito. Quando un attaccante può generare un malware unico per ogni bersaglio in pochi minuti, le firme diventano un archivio di storia, non uno scudo. L’unica difesa che tiene è quella capace di riconoscere ciò che non ha mai visto: analisi comportamentale, AI difensiva, risposta automatizzata.

FONTI

IBM X-Force, “A Slopoly start to AI-enhanced ransomware attacks”, marzo 2026

Palo Alto Networks Unit 42, “Global Incident Response Report 2026”, febbraio 2026

BleepingComputer, “AI-generated Slopoly malware used in Interlock ransomware attack”, marzo 2026

Cybersecurity Dive, “Even primitive AI-coded malware helps hackers move faster”, marzo 2026