Los actores de amenaza detrás del grupo de ransomware de enclavamiento han desatado una nueva variante PHP de su Trojan de acceso remoto a medida (RAT) como parte de una campaña generalizada utilizando una variante de ClickFix llamada FileFix.
«Desde mayo de 2025, se ha observado actividad relacionada con la rata de enclavamiento en relación con los grupos de amenazas de inyección web del terreno (también conocido como Kongtuke)», dijo el informe de DFIR en un análisis técnico publicado hoy en colaboración con Proofpoint.
«La campaña comienza con sitios web comprometidos inyectados con un script de una sola línea oculto en el HTML de la página, a menudo sin que los propietarios o visitantes de los sitios».
El código JavaScript actúa como un sistema de distribución de tráfico (TDS), utilizando técnicas de filtrado de IP para redirigir a los usuarios a las páginas de verificación Captcha Fake que aprovechan ClickFix para atraerlos a ejecutar un script PowerShell que conduce a la implementación de Nodesnake (aka Interlock Rat).
Quorum Cyber, el uso de Nodesnake, By Interlock fue documentado previamente por parte de los ataques cibernéticos dirigidos al gobierno local y las organizaciones de educación superior en el Reino Unido en enero y marzo de 2025. El malware facilita el acceso persistente, el reconocimiento del sistema y las capacidades de ejecución de comandos remotos.
Si bien el nombre del malware es una referencia a sus fundamentos nodo.js, las nuevas campañas observadas el mes pasado han llevado a la distribución de una variante PHP por medios FILEFIX. Se evalúa que la actividad es de naturaleza oportunista, con el objetivo de una amplia gama de industrias.
«Se ha observado que este mecanismo de entrega actualizado implementa la variante PHP de la rata de enclavamiento, que en ciertos casos ha llevado a la implementación de la variante Node.js de la rata de enclavamiento», dijeron los investigadores.
FileFix es una evolución de ClickFix que aprovecha la capacidad del sistema operativo de Windows para instruir a las víctimas a copiar y ejecutar comandos utilizando la función de barra de direcciones del explorador de archivos. Primero fue detallado como una prueba de concepto (POC) el mes pasado por el investigador de seguridad MRD0X.
Una vez instalado, el malware de rata lleva a cabo el reconocimiento del host infectado y la información del sistema de exfiltrado en formato JSON. También verifica sus propios privilegios para determinar si se ejecuta como usuario, administrador o sistema, y establece el contacto con un servidor remoto para descargar y ejecutar cargas de EXE o DLL.
La persistencia en la máquina se logra a través de cambios en el registro de Windows, mientras que el protocolo de escritorio remoto (RDP) se utiliza para habilitar el movimiento lateral.
Una característica notable del troyano es su abuso de los subdominios del túnel CloudFlare para oscurecer la ubicación real del servidor de comando y control (C2). El malware incrusta además direcciones IP codificadas como un mecanismo respaldo para garantizar que la comunicación permanezca intacta incluso si el túnel CloudFlare se elimina.
«Este descubrimiento destaca la evolución continua de las herramientas del grupo de enclavamiento y su sofisticación operativa», dijeron los investigadores. «Si bien la variante Node.js de Interlock Rat era conocida por su uso de Node.js, esta variante aprovecha PHP, un lenguaje de secuencias de comandos web común, para obtener y mantener el acceso a las redes de víctimas».