Dreigingsacteurs achter de interlock -ransomware -groep hebben een nieuwe PHP -variant van zijn op maat gemaakte externe toegang Trojan (rat) losgelaten als onderdeel van een wijdverbreide campagne met behulp van een variant van ClickFix genaamd FileFix.
“Sinds mei 2025 is de activiteit gerelateerd aan de Interlock-rat waargenomen in verband met de LandUpdate808 (AKA Kongtuke) web-injecteringsclusters,” zei het DFIR-rapport in een technische analyse die vandaag is gepubliceerd in samenwerking met Proofpoint.
“De campagne begint met gecompromitteerde websites die zijn geïnjecteerd met een script met één regel verborgen in de HTML van de pagina, vaak zonder medeweten aan site-eigenaren of bezoekers.”
De JavaScript -code fungeert als een verkeersdistributiesysteem (TDS), met behulp van IP -filteringstechnieken om gebruikers om te leiden om CAPTCHA -verificatiepagina’s te vervalsen die de clickfix gebruiken om ze te verleiden een PowerShell -script dat leidt tot de implementatie van NodeSnake (AKA Interlock Rat).
Het gebruik van NodeSnake door Interlock werd eerder gedocumenteerd door Quorum Cyber als onderdeel van cyberaanvallen op de lokale overheid en organisaties in het hoger onderwijs in het Verenigd Koninkrijk in januari en maart 2025. De malware vergemakkelijkt aanhoudende toegang, systeemverkenning en externe commando -uitvoeringsmogelijkheden.
Hoewel de naam van de malware een verwijzing is naar zijn node.js -stichtingen, hebben nieuwe campagnes die vorige maand werden waargenomen, geleid tot de verdeling van een PHP -variant door middel van FileFix. De activiteit wordt als opportunistisch van aard beoordeeld, gericht op een breed scala van industrieën.
“Dit bijgewerkte leveringsmechanisme is waargenomen om de PHP -variant van de interlock -rat te implementeren, die in bepaalde gevallen vervolgens heeft geleid tot de inzet van de knooppunt.js -variant van de interlock -rat,” zeiden de onderzoekers.
FileFix is een evolutie van ClickFix die profiteert van het vermogen van het Windows -besturingssysteem om slachtoffers te instrueren om opdrachten te kopiëren en uit te voeren met behulp van de adresbalkfunctie van de File Explorer. Het werd vorige maand voor het eerst beschreven als proof-of-concept (POC) door beveiligingsonderzoeker MRD0X.
Eenmaal geïnstalleerd, voert de rattenmalware verkenning uit van de geïnfecteerde host- en exfiltraat -systeeminformatie in JSON -indeling. Het controleert ook zijn eigen privileges om te bepalen of het wordt uitgevoerd als gebruiker, admin of systeem en legt contact op met een externe server om EXE- of DLL -payloads te downloaden en uit te voeren.
Persistentie op de machine wordt bereikt via Windows -registerveranderingen, terwijl het Remote Desktop Protocol (RDP) wordt gebruikt om laterale beweging mogelijk te maken.
Een opmerkelijk kenmerk van de Trojan is het misbruik van cloudflare-tunnelsubhomeinen om de ware locatie van de command-and-control (C2) -server te verdoezelen. De malware verloopt verder hard gecodeerde IP-adressen als een fallback-mechanisme om ervoor te zorgen dat de communicatie intact blijft, zelfs als de CloudFlare-tunnel wordt verwijderd.
“Deze ontdekking benadrukt de voortdurende evolutie van de tooling van de Interlock Group en hun operationele verfijning,” zeiden de onderzoekers. “Terwijl de Node.js -variant van Interlock Rat bekend stond om het gebruik van Node.js, maakt deze variant gebruik van PHP, een gemeenschappelijke webscripttaal, om toegang te krijgen tot slachtoffernetwerken.”
