tendencias ,

Alerta: Nueva variante de Interlock RAT distribuida mediante FileFix

Silent4Business | Julio de 2025

La nueva variante de Interlock RAT representa una amenaza activa para la ciberseguridad empresarial. Detectada por nuestro equipo de Cyber Threat Intelligence, esta campaña utiliza la técnica conocida como FileFix para distribuir un troyano de acceso remoto más sofisticado, dirigido especialmente a organizaciones de Latinoamérica. Esta evolución del malware, desarrollada por el grupo Interlock, exige atención inmediata por parte de responsables de TI, CISOs y CIOs..

Interlock RAT reescrita en PHP: más discreto, más peligroso

A diferencia de su versión anterior escrita en JavaScript (NodeSnake), esta nueva variante ha sido reescrita en PHP, lo que le permite una integración más discreta en servidores web vulnerables y facilita la distribución masiva del malware.

Se ha observado su uso en campañas de inyección web a partir de mayo de 2025, especialmente vinculadas al grupo LandUpdate808, también conocido como KongTuke.

El ataque comienza con la inyección de un script oculto en sitios web comprometidos. El código incluye filtros de direcciones IP para evitar detección automatizada, y si el objetivo es válido, se despliega una página falsa que simula una verificación de seguridad. Esta solicita al usuario ejecutar manualmente un comando que activa un script de PowerShell, el cual descarga e instala el Interlock RAT.

Esta técnica se vale de la ingeniería social para evadir herramientas de detección tradicionales.

campaña FileFix

Ilustración 1. Ejemplo de un CAPTCHA falso utilizado en la campaña FileFix.
Fuente: The Hacker News

Detalles técnicos de la nueva amenaza Interlock RAT

En los ataques recientes, los actores de amenazas han comenzado a aprovechar la técnica FileFix como vector de propagación para distribuir múltiples familias de malware, incluidos cargadores maliciosos, troyanos de acceso remoto (RAT) e infostealers.

Esta táctica permite una infección sigilosa y dirigida, facilitando la ejecución remota de código, el reconocimiento automatizado del sistema comprometido, y el establecimiento de canales de comando y control (C2) resilientes mediante servicios legítimos como Cloudflare Tunnel.

1. Ejecución inicial de Interlock RAT

El ataque inicia con comandos PowerShell que generan código PHP con argumentos sospechosos. Este invoca el ejecutable de PHP con directivas específicas para habilitar la extensión ZIP y pasar un archivo de configuración como entrada, ubicado fuera de las rutas estándar.

2. Descubrimiento automatizado del sistema comprometido

Tras su ejecución, Interlock RAT lleva a cabo un reconocimiento automatizado del sistema comprometido. Utiliza comandos PowerShell para recopilar un perfil completo del sistema en formato JSON. La información incluye:

  • Datos de systeminfo
  • Lista de procesos y servicios (tasklist, Get-Service)
  • Servicios en ejecución (Get-Service)
  • Unidades montadas (Get-PSDrive)
  • Vecindad de red local (Get-NetNeighbor)

3. Canal de Comando y Control (C2)

El malware establece un canal C2 robusto utilizando URLs tipo trycloudflare.com, abusando del servicio Cloudflare Tunnel para ocultar la verdadera ubicación del servidor C2. Además, incluye direcciones IP de respaldo codificadas para asegurar persistencia incluso si el túnel se interrumpe.

Impacto estratégico para organizaciones

El uso de PHP, sumado a la interacción del usuario y la evasión de mecanismos automatizados, convierte a esta variante en una amenaza silenciosa pero efectiva. Permite al grupo Interlock obtener acceso remoto a infraestructuras empresariales, exfiltrar datos, realizar reconocimiento profundo de sistemas y establecer canales C2 resilientes.

Esta evolución también refleja una mayor sofisticación táctica del actor malicioso, que adapta sus técnicas para vulnerar organizaciones de forma dirigida, sigilosa y persistente.

Indicadores de Compromiso (IoCs)

MD5:

  • 2B2E657AE1BC2FDCDFE5201A8E0E5224

SHA1:

  • 8BD16897409AE5D5667C345276D2532F493C0F98

SHA256:

  • 28a9982cf2b4fc53a1545b6ed0d0c1788ca9369a847750f5652ffa0ca7f7b7d3
  • 8afd6c0636c5d70ac0622396268786190a428635e9cf28ab23add939377727b0

Recomendaciones clave para mitigar riesgos ante la nueva variante de Interlock RAT

De acuerdo con los recientes hallazgos compartidos en esta alerta, se comparten las siguientes recomendaciones:

  • Implementar copias de seguridad regulares y fuera de línea, incluyendo respaldos que no puedan ser modificados por actores maliciosos.
  • Probar periódicamente los mecanismos de restauración de respaldos.
  • Restringir privilegios administrativos bajo el principio de mínimo privilegio, así como implementar User Account Control (UAC) para prevenir la escalación de privilegios.
  • Aplicar segmentación de red para contener movimientos laterales del malware.
  • Asegurar que sistemas, aplicaciones y software estén actualizados con los últimos parches de seguridad.
  • Realizar campañas de concientización para identificar correos electrónicos sospechosos, evitando descargas y enlaces no verificados.
  • Implementar soluciones de filtrado avanzado que detecten phishing basado en enlaces acortados y contenido dinámico.

Fortalece tu postura de ciberseguridad con Silent4Business

En un contexto de amenazas que evolucionan rápidamente, contar con inteligencia de amenazas precisa y monitoreo continuo es clave para la defensa cibernética. Conoce nuestras soluciones en: www.silent4business.com

Nuestro equipo puede ayudarte a:

  • Identificar vulnerabilidades
  • Detectar amenazas activas
  • Fortalecer la resiliencia de tu infraestructura digital

Autor

  • Pamela Velasco

    Ingeniera Informática especializada en Ciberseguridad e Inteligencia de Amenazas (CTI). Forma parte del equipo de CTI de Silent4Business, donde ha contribuido en el análisis de vulnerabilidades, la investigación de campañas de malware y la identificación de tendencias en ciberamenazas. Apoyando en la toma de decisiones y la anticipación frente a riesgos emergentes en el entorno digital.
Etiqueta

Publicar comentario

X (Twitter)
LinkedIn
Share
×