Los actores de amenaza detrás del colección de ransomware de enclavamiento han desatado una nueva cambio PHP de su Trojan de entrada remoto a medida (RAT) como parte de una campaña generalizada utilizando una cambio de ClickFix llamamiento FileFix.
“Desde mayo de 2025, se ha observado actividad relacionada con la rata de enclavamiento en relación con los grupos de amenazas de inyección web del demarcación (igualmente conocido como Kongtuke)”, dijo el documentación de DFIR en un prospección técnico publicado hoy en colaboración con Proofpoint.
“La campaña comienza con sitios web comprometidos inyectados con un script de una sola cadena oculto en el HTML de la página, a menudo sin que los propietarios o visitantes de los sitios”.
El código JavaScript actúa como un sistema de distribución de tráfico (TDS), utilizando técnicas de filtrado de IP para redirigir a los usuarios a las páginas de comprobación Captcha Fake que aprovechan ClickFix para atraerlos a ejecutar un script PowerShell que conduce a la implementación de Nodesnake (aka Interlock Rat).
Quorum Cyber, el uso de Nodesnake, By Interlock fue documentado previamente por parte de los ataques cibernéticos dirigidos al gobierno recinto y las organizaciones de educación superior en el Reino Unido en enero y marzo de 2025. El malware facilita el entrada persistente, el examen del sistema y las capacidades de ejecución de comandos remotos.
Si acertadamente el nombre del malware es una remisión a sus fundamentos nodo.js, las nuevas campañas observadas el mes pasado han llevado a la distribución de una cambio PHP por medios FILEFIX. Se evalúa que la actividad es de naturaleza oportunista, con el objetivo de una amplia matiz de industrias.
“Se ha observado que este mecanismo de entrega actualizado implementa la cambio PHP de la rata de enclavamiento, que en ciertos casos ha llevado a la implementación de la cambio Node.js de la rata de enclavamiento”, dijeron los investigadores.
FileFix es una proceso de ClickFix que aprovecha la capacidad del sistema operante de Windows para instruir a las víctimas a copiar y ejecutar comandos utilizando la función de mostrador de direcciones del explorador de archivos. Primero fue detallado como una prueba de concepto (POC) el mes pasado por el investigador de seguridad MRD0X.
Una vez instalado, el malware de rata lleva a lengua el examen del host infectado y la información del sistema de exfiltrado en formato JSON. Todavía verifica sus propios privilegios para determinar si se ejecuta como favorecido, administrador o sistema, y establece el contacto con un servidor remoto para descargar y ejecutar cargas de EXE o DLL.
La persistencia en la máquina se logra a través de cambios en el registro de Windows, mientras que el protocolo de escritorio remoto (RDP) se utiliza para habilitar el movimiento colateral.
Una característica trascendente del troyano es su tropelía de los subdominios del túnel CloudFlare para oscurecer la ubicación actual del servidor de comando y control (C2). El malware incrusta adicionalmente direcciones IP codificadas como un mecanismo respaldo para asegurar que la comunicación permanezca intacta incluso si el túnel CloudFlare se elimina.
“Este descubrimiento destaca la proceso continua de las herramientas del colección de enclavamiento y su sofisticación operativa”, dijeron los investigadores. “Si acertadamente la cambio Node.js de Interlock Rat era conocida por su uso de Node.js, esta cambio aprovecha PHP, un habla de secuencias de comandos web popular, para obtener y proseguir el entrada a las redes de víctimas”.
