Ha surgido una sofisticada campaña de malware que aprovecha el clúster de amenaza de Kongtuke, dirigiendo a los usuarios de Windows a través de una nueva técnica de fieltro de archivo que implementa una variante avanzada basada en PHP del Troya de acceso remoto de enclavamiento (RAT).
Esto representa una evolución significativa de las implementaciones previas basadas en JavaScript, lo que demuestra una mayor sofisticación operativa y resiliencia.
Desde mayo de 2025, los investigadores de seguridad cibernética han observado una actividad generalizada relacionada con la rata de enclavamiento en relación con los grupos de amenazas de inyección web de terreno 808, también conocidos como Kongtuke.
La campaña utiliza sitios web comprometidos como vectores de ataque iniciales, inyectando scripts de una sola línea en páginas HTML que permanecen en gran medida sin ser detectadas por propietarios de sitios y visitantes por igual.
Los analistas de informes de DFIR, que trabajan en asociación con los investigadores de PROASPPOINT,, identificado Esta nueva variante en junio de 2025 campañas.
Los actores de amenaza han hecho la transición con éxito de su rata de bloqueo de JavaScript previamente documentada, apodada Nodesnake, a una implementación más sólida basada en PHP que mejora las capacidades de funcionalidad y evasión.
El enfoque de orientación oportunista de la campaña afecta a las organizaciones en múltiples industrias, con actores de amenazas que emplean técnicas sofisticadas de ingeniería social para maximizar las tasas de infección.
La evolución del malware demuestra la inversión continua del grupo de bloqueo en el desarrollo de metodologías de ataque más resistentes y más difíciles de detectar.
Análisis del mecanismo de infección
La cadena de ataque Kongtuke FileFix comienza con sitios web comprometidos que sirven a JavaScript malicioso que emplea un filtrado de IP pesado para dirigirse selectivamente a víctimas específicas.
Al acceder a un sitio infectado, los usuarios se encuentran con un indicador de verificación Captcha aparentemente legítimo solicitándoles que “verifiquen que sean humanos”, seguido de pasos de verificación detallados que instruyen a las víctimas que abran el cuadro de diálogo de comando de Windows y peguen el contenido del portapapeles.
La transición de inyección web de Kongtuke a una variante FileFix (fuente-el informe DFIR)
Este enfoque de ingeniería social evita efectivamente la capacitación tradicional de conciencia de seguridad, ya que los usuarios perciben el Captcha como una medida de seguridad web estándar.
Cuando las víctimas cumplen con las instrucciones, sin saberlo ejecutan un script PowerShell que inicia la secuencia de despliegue de rata de enclavamiento.
La cadena de ejecución demuestra una implementación técnica sofisticada, con los procesos de PHP de desove de PowerShell utilizando argumentos sospechosos.
El malware carga archivos de configuración de ubicaciones no estándar dentro del directorio AppData del usuario, invocando específicamente el ejecutable PHP con directivas de extensión ZIP.
Una estructura de comando representativa aparece como:-
“C: \ users \ (redactado) \ appData \ roaming \ php \ php.exe” -d extension = zip -c config.cfg
Tras una ejecución exitosa, la RAT realiza inmediatamente un reconocimiento integral del sistema, recopilando información detallada, incluidas las especificaciones del sistema, los procesos de ejecución, los servicios de Windows, las unidades montadas y los datos del vecindario de la red a través de consultas de tabla ARP.
Esta recopilación de inteligencia permite a los actores de amenaza evaluar rápidamente el alcance del compromiso y los niveles de privilegio, determinando si tienen derechos de acceso de usuario, administrador o sistema para fases de ataque posteriores.
El malware establece comunicaciones de control y control sólidas a través de las URL de trycloudflare.com, abusando deliberadamente de los servicios legítimos de túnel Cloudflare para enmascarar las ubicaciones de los servidores verdaderos mientras mantiene direcciones IP alternativas codificadas para la resiliencia operativa.
Detectar malware en un entorno en vivo analizar archivos y URL sospechosos en cualquiera. Prueba gratis
