Los actores de amenaza detrás del comunidad de ransomware de enclavamiento han desatado una nueva cambio PHP de su Trojan de golpe remoto a medida (RAT) como parte de una campaña generalizada utilizando una cambio de ClickFix convocatoria FileFix.
«Desde mayo de 2025, se ha observado actividad relacionada con la rata de enclavamiento en relación con los grupos de amenazas de inyección web del dominio (igualmente conocido como Kongtuke)», dijo el documentación de DFIR en un descomposición técnico publicado hoy en colaboración con Proofpoint.
«La campaña comienza con sitios web comprometidos inyectados con un script de una sola crencha oculto en el HTML de la página, a menudo sin que los propietarios o visitantes de los sitios».
El código JavaScript actúa como un sistema de distribución de tráfico (TDS), utilizando técnicas de filtrado de IP para redirigir a los usuarios a las páginas de demostración Captcha Fake que aprovechan ClickFix para atraerlos a ejecutar un script PowerShell que conduce a la implementación de Nodesnake (aka Interlock Rat).
Quorum Cyber, el uso de Nodesnake, By Interlock fue documentado previamente por parte de los ataques cibernéticos dirigidos al gobierno almacén y las organizaciones de educación superior en el Reino Unido en enero y marzo de 2025. El malware facilita el golpe persistente, el examen del sistema y las capacidades de ejecución de comandos remotos.
Si acertadamente el nombre del malware es una relato a sus fundamentos nodo.js, las nuevas campañas observadas el mes pasado han llevado a la distribución de una cambio PHP por medios FILEFIX. Se evalúa que la actividad es de naturaleza oportunista, con el objetivo de una amplia gradación de industrias.
«Se ha observado que este mecanismo de entrega actualizado implementa la cambio PHP de la rata de enclavamiento, que en ciertos casos ha llevado a la implementación de la cambio Node.js de la rata de enclavamiento», dijeron los investigadores.
FileFix es una transformación de ClickFix que aprovecha la capacidad del sistema activo de Windows para instruir a las víctimas a copiar y ejecutar comandos utilizando la función de mostrador de direcciones del explorador de archivos. Primero fue detallado como una prueba de concepto (POC) el mes pasado por el investigador de seguridad MRD0X.
Una vez instalado, el malware de rata lleva a lengua el examen del host infectado y la información del sistema de exfiltrado en formato JSON. Además verifica sus propios privilegios para determinar si se ejecuta como favorecido, administrador o sistema, y establece el contacto con un servidor remoto para descargar y ejecutar cargas de EXE o DLL.
La persistencia en la máquina se logra a través de cambios en el registro de Windows, mientras que el protocolo de escritorio remoto (RDP) se utiliza para habilitar el movimiento limítrofe.
Una característica importante del troyano es su exceso de los subdominios del túnel CloudFlare para oscurecer la ubicación efectivo del servidor de comando y control (C2). El malware incrusta encima direcciones IP codificadas como un mecanismo respaldo para avalar que la comunicación permanezca intacta incluso si el túnel CloudFlare se elimina.
«Este descubrimiento destaca la transformación continua de las herramientas del comunidad de enclavamiento y su sofisticación operativa», dijeron los investigadores. «Si acertadamente la cambio Node.js de Interlock Rat era conocida por su uso de Node.js, esta cambio aprovecha PHP, un estilo de secuencias de comandos web popular, para obtener y perseverar el golpe a las redes de víctimas».
