Negli ultimi mesi, il gruppo ransomware Interlock ha intensificato le sue attività lanciando una nuova variante del proprio trojan di accesso remoto (RAT) basata su PHP. Questa campagna sfrutta un meccanismo di consegna chiamato FileFix, evoluzione della tecnica ClickFix, e mira a colpire una vasta gamma di settori industriali attraverso attacchi opportunistici.

Compromissione iniziale e tecniche di attacco

L’attacco inizia con il compromesso di siti web, dove viene iniettato uno script nascosto direttamente nell’HTML delle pagine. Questo codice JavaScript agisce come un vero e proprio sistema di distribuzione del traffico (TDS), adottando tecniche di filtraggio IP per indirizzare le potenziali vittime verso pagine di verifica CAPTCHA false. Qui, tramite ClickFix, gli utenti vengono indotti a eseguire uno script PowerShell, che avvia la catena di infezione portando al rilascio del malware NodeSnake, anche conosciuto come Interlock RAT.

Dalla variante Node.js alla nuova versione PHP

Originariamente il trojan era noto per la sua implementazione in Node.js, ma dal giugno 2025 si è osservata anche la diffusione di una variante PHP tramite FileFix. Questa strategia permette di colpire non solo enti governativi o università – bersagli già noti delle precedenti campagne – ma anche aziende di settori diversi, ampliando notevolmente il potenziale di danno.

FileFix: evoluzione delle tecniche di distribuzione

FileFix rappresenta una versione avanzata di ClickFix, sfruttando la capacità dei sistemi Windows di consentire l’esecuzione di comandi attraverso la barra degli indirizzi di Esplora Risorse. Questa tecnica, resa nota come proof-of-concept da ricercatori di sicurezza, si è rapidamente trasformata in uno strumento concreto per la distribuzione di malware.

Ricognizione, persistenza e movimento laterale

Una volta installato, il RAT effettua una ricognizione della macchina infetta e invia informazioni di sistema in formato JSON a un server remoto. Valuta inoltre i privilegi con cui sta operando (utente, amministratore o sistema) e può scaricare ed eseguire ulteriori payload, come file EXE o DLL, per ampliare le proprie capacità di attacco.

La persistenza viene ottenuta tramite modifiche al Registro di sistema di Windows, mentre il protocollo RDP viene sfruttato per muoversi lateralmente nella rete e compromettere altri dispositivi. Un aspetto particolarmente insidioso di questa minaccia è l’uso di sottodomini Cloudflare Tunnel per nascondere la reale posizione del server di comando e controllo (C2). Nel codice sono inoltre presenti indirizzi IP hard-coded da usare come fallback, garantendo la continuità delle comunicazioni anche in caso di blocco dei tunnel Cloudflare.

Questa nuova ondata di attacchi dimostra l’evoluzione tecnica e la sofisticazione operativa del gruppo Interlock, che ora utilizza PHP per sfruttare vulnerabilità dei siti web e mantenere l’accesso alle reti delle vittime.