L’article publié par The DFIR Report, en collaboration avec Proofpoint, dévoile l’émergence d’une nouvelle variante du cheval de Troie d’accès à distance (RAT) utilisé par le groupe de ransomware Interlock. Cette version inédite, développée en PHP, marque une évolution notable par rapport à la version antérieure en JavaScript (Node.js), surnommée NodeSnake.
💡 Cette nouvelle souche a été identifiée dans le cadre d’une campagne active associée au cluster de menaces web-inject KongTuke (LandUpdate808), qui utilise des sites compromis pour distribuer le malware via un script dissimulé dans le HTML. Le processus d’infection repose sur une chaîne d’exécution sophistiquée, comprenant des vérifications CAPTCHA, des scripts PowerShell et l’exécution furtive de commandes système.
🧰 Une fois implanté, le RAT réalise un profilage complet de la machine infectée et établit un canal Command & Control (C2) en utilisant Cloudflare Tunnel, afin de masquer l’infrastructure malveillante. Il est également capable de :
Maintenir la persistance via le registre Windows,
Exécuter des commandes à distance (CMD, EXE, DLL),
Effectuer des mouvements latéraux via RDP,
Identifier des hôtes et services dans l’environnement Windows via des commandes interactives (LDAP, net user, tasklist…).
⚙️ Les chercheurs soulignent la résilience du malware, notamment grâce à l’usage de mécanismes de secours (IP hardcodées) si le tunnel Cloudflare est bloqué. Le malware démontre aussi une capacité à s’adapter dynamiquement selon les privilèges détectés sur la machine (USER, ADMIN, SYSTEM).
🎯 Cette campagne semble opportuniste, visant divers secteurs industriels sans ciblage spécifique. Elle illustre la capacité d’adaptation continue du groupe Interlock et la sophistication croissante de ses outils.
🔐 En conclusion, ce rapport met en garde la communauté de la cybersécurité face à l’évolution rapide des menaces. Il insiste sur la nécessité d’une veille constante, d’une détection avancée, et de mécanismes de défense robustes pour contrer ce type d’attaques persistantes.
🔗 Source originale : https://thedfirreport.com/2025/07/14/kongtuke-filefix-leads-to-new-interlock-rat-variant/