Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Herramientas de administración remota Interlock RAT

Interlock RAT

Por Mezo en Herramientas de administración remota, Amenaza persistente avanzada (APT), Ransomware
Traducir a:

Los ciberdelincuentes responsables del ransomware Interlock están intensificando sus ataques con una nueva variante PHP de su troyano de acceso remoto (RAT) personalizado, Interlock RAT, también conocido como NodeSnake. Esta amenaza mejorada se ha observado en una campaña generalizada que utiliza un mecanismo de entrega evolucionado denominado FileFix, una derivación de la técnica ClickFix previamente conocida. Este desarrollo marca un cambio significativo en la estrategia de ataque del grupo, ampliando su alcance y demostrando una mayor sofisticación técnica.

Entrada sigilosa: inyección de scripts y redirección de tráfico

La campaña, activa desde mayo de 2025, comienza con sitios web comprometidos a los que se les inyecta un fragmento de JavaScript de una sola línea, aparentemente inofensivo, oculto en el código HTML. Este script funciona como un sistema de distribución de tráfico (TDS), empleando filtros basados en IP para redirigir a los visitantes objetivo a páginas falsas de verificación CAPTCHA. Estas páginas fraudulentas se basan en señuelos basados en ClickFix para engañar a los usuarios y que ejecuten scripts maliciosos de PowerShell. El resultado es la instalación de Interlock RAT, lo que permite a los atacantes acceder al sistema de la víctima.

FileFix: Una innovación de entrega armada

Las últimas campañas observadas en junio de 2025 muestran el uso de FileFix, una versión más avanzada de ClickFix, como principal vector de infección. FileFix explota la barra de direcciones del Explorador de archivos de Windows para inducir a los usuarios a ejecutar comandos maliciosos mediante ingeniería social. Inicialmente demostrado como prueba de concepto en junio de 2025, FileFix ya se ha implementado para distribuir la variante PHP de Interlock RAT y, en algunos casos, esta implementación actúa como precursora de la instalación de la variante más tradicional basada en Node.js.

Cargas útiles multietapa y capacidades de sigilo

Una vez implementado, Interlock RAT inicia el reconocimiento del host y la exfiltración de información del sistema en formato JSON. Comprueba los niveles de privilegio (USUARIO, ADMINISTRADOR o SISTEMA) y establece contacto con un servidor remoto de comando y control (C2). Se obtienen cargas útiles adicionales, ya sean archivos EXE o DLL, para su ejecución.

  • Los mecanismos de persistencia incluyen:
  • Modificar el Registro de Windows para mantener la ejecución del inicio.
  • Habilitación del movimiento lateral a través del acceso al Protocolo de Escritorio Remoto (RDP).

Además, una técnica de evasión notable consiste en el uso de subdominios del túnel de Cloudflare, que ocultan la ubicación real del servidor C2. Las direcciones IP codificadas sirven como respaldo para mantener la conectividad si los túneles se interrumpen.

Seguimiento de la amenaza: objetivos pasados y motivos actuales

A principios de 2025, Interlock RAT participó en ataques contra gobiernos locales e instituciones educativas del Reino Unido, utilizando la variante Node.js. Sin embargo, la reciente transición a PHP, un lenguaje de desarrollo web común, sugiere un enfoque más oportunista dirigido a una gama más amplia de industrias. La transición a PHP indica una decisión táctica para ampliar los vectores de infección, potencialmente explotando infraestructuras web vulnerables.

Indicadores clave de la campaña

Las víctimas y los agentes de ciberseguridad deben estar atentos a las siguientes características de las últimas operaciones de Interlock:

Vector de ataque inicial:

  • Inyecciones de JavaScript de una sola línea en sitios web legítimos pero comprometidos.
  • Redirección a páginas CAPTCHA falsas mediante filtrado de IP.

Comportamiento del malware después de la infección:

  • Reconocimiento del host y exfiltración de información del sistema en formato JSON.
  • Comprobaciones de privilegios y ejecución de carga útil remota.
  • Persistencia basada en registro y explotación de RDP para movimiento.

Conclusión: El creciente perfil de amenaza de Interlock Group

La aparición de la variante PHP de Interlock RAT demuestra la creciente versatilidad del grupo y su intención de anticiparse a las contramedidas defensivas. Al aprovechar tanto el scripting web como las funciones nativas del sistema, los atacantes de Interlock están difuminando los límites entre la distribución tradicional de malware y el abuso creativo de las funcionalidades cotidianas del sistema. Los equipos de seguridad deben mantenerse alerta e implementar defensas por capas para detectar y bloquear estas amenazas en constante evolución.

Tendencias

Mas Visto

Cargando...