Il gruppo ransomware Interlock ha lanciato una nuova offensiva informatica distribuendo una nuova variante del suo malware Interlock RAT, questa volta scritta in PHP. Secondo un’indagine condotta da DFIR Report in collaborazione con Proofpoint, la campagna utilizza un metodo di distribuzione chiamato FileFix, una variante della tecnica ClickFix, per compromettere diversi settori attraverso siti web vulnerabili.
Questa variante PHP rappresenta un’evoluzione rispetto alla versione precedente basata su Node.js. Dall’inizio di maggio 2025, il malware è stato collegato al gruppo di minaccia KongTuke (LandUpdate808), con una massiccia campagna identificata a partire da giugno. Il veicolo di infezione è costituito da siti compromessi che contengono uno script di una sola riga nascosto HTML: questo attiva un falso CAPTCHA e induce l’utente a incollare manualmente uno script PowerShell nel prompt dei comandi, portando infine all’esecuzione del RAT.
Una volta installato, il malware procede con una fase di ricognizione del sistema per valutarne i privilegi, raccogliendo informazioni dettagliate su processi, servizi, unità disco e rete. Stabilisce una connessione con l’infrastruttura degli attaccanti attraverso il servizio Cloudflare Tunnel (trycloudflare.com), ma include anche indirizzi IP hardcoded per garantire la continuità della comunicazione anche in caso di interruzioni. Il malware è in grado di eseguire comandi remoti per scaricare ed eseguire file eseguibili o DLL, impartire comandi shell, muoversi lateralmente all’interno della rete tramite RDP e mantenere la persistenza nel sistema compromesso.
Secondo i ricercatori, l’uso di PHP rappresenta una mossa strategica del gruppo per sfruttare un linguaggio comunemente presente nei server web, aumentando le possibilità di successo degli attacchi.
“Questa scoperta evidenzia la continua evoluzione degli strumenti del gruppo Interlock e la sua sofisticatezza operativa”, afferma il rapporto, che include regole Sigma, YARA e IOC per il rilevamento.
