文章总结： TheDFIRReport与Proofpoint联合发现Interlock勒索软件组织的新型PHP架构远程访问木马变种，攻击链通过被入侵网站注入脚本、IP过滤、伪验证码社工引导最终执行PowerShell部署RAT。该恶意软件具备自动化侦察、C2通信滥用CloudflareTunnel、持久化与横向移动能力，建议监控异常PHP执行行为、注册表项及CloudflareTunnel连接。 综合评分： 85 文章分类： 恶意软件,漏洞分析,威胁情报,渗透测试,安全运营

KongTuke FileFix 攻击链：新型 PHP 版 Interlock RAT 深度剖析

bitbot bitbot

Desync InfoSec

2026年4月9日 12:07 北京

The DFIR Report 与 Proofpoint 联合发现了一款全新的 Interlock 勒索软件组织的远程访问木马（RAT）变种。该变种从此前基于 JavaScript 的 Interlock RAT（又名 NodeSnake）转向了 PHP 架构，并被用于大规模攻击活动。

自 2025 年 5 月以来，Interlock RAT 的活动一直与 LandUpdate808（又名 KongTuke） Web 注入威胁集群相关联。攻击始于被入侵的网站——页面 HTML 中隐藏着一行脚本，网站所有者和访客通常都无法察觉。

────────────────

攻击链路全景

整个攻击链从一个看似无害的交互开始：

1. 被入侵网站 → 注入隐藏的单行 JavaScript 脚本 2. IP 过滤 → 脚本对访问者 IP 进行严格过滤，只对目标用户投放载荷 3. 伪验证码 → 弹出 “Verify you are human” 的人机验证界面 4. 社工引导 → “Verification steps” 引导用户打开运行窗口，将剪贴板内容粘贴执行 5. PowerShell 执行 → 粘贴的命令触发 PowerShell 脚本，最终部署 Interlock RAT

Proofpoint 研究人员同时观察到了 Node.js 和 PHP 两种 Interlock RAT 变种。PHP 变种最早出现于 2025 年 6 月的攻击活动中，而 KongTuke Web 注入也正在向 FileFix 变种过渡。

────────────────

关键技术手法

初始执行

Interlock RAT 的初始执行命令展示了 PowerShell 调用 PHP 并加载非标准位置配置文件的可疑行为：

“C:\Users\REDACTED\AppData\Roaming\php\php.exe” -d extension=zip -d extension_dir=ext C:\Users\AppData\Roaming\php\wefs.cfg 1

PHP 可执行文件位于用户的 AppData\Roaming 目录，通过 ZIP 扩展和 .cfg 配置文件运行。研究团队已发布 PowerShell 和 Python 解析脚本用于分析配置文件。

自动化侦察

RAT 执行后立即通过一系列 PowerShell 命令自动收集系统信息并以 JSON 格式外传：

• systeminfo — 完整系统规格 • tasklist /svc — 运行中的进程及关联服务 • Get-Service — Windows 服务列表 • Get-PSDrive — 所有已挂载磁盘驱动器 • Get-NetNeighbor — ARP 表获取本地网络邻居 • 权限检测 — 判断当前身份为 USER、ADMIN 还是 SYSTEM

人工操作侦察

除自动化采集外，还发现攻击者进行手动交互式侦察的证据：

• AD 域计算机数量统计 • 查找带有 description 属性的域用户账户 • 执行 net user %USERNAME% /domain 查询域用户信息 • 搜索命名包含 VB、VEEA、BCK、BACK 的备份服务器（优先定位备份） • 运行 nltest /dclist: 枚举域控制器 • whoami、tasklist、dir %appdata% 等基础侦查

命令与控制（C2）

Interlock RAT 建立了健壮的 C2 通道，滥用 Cloudflare Tunnel（trycloudflare.com）合法服务掩盖 C2 服务器真实位置。此外，恶意软件还包含硬编码的备用 IP 地址，确保 Cloudflare Tunnel 被阻断后仍能通信。

C2 远程执行能力

| | | | — | — | | 命令 | 功能 | | EXE | 下载并执行 Windows 可执行文件 | | DLL | 下载 DLL 并通过 rundll32.exe 执行 | | AUTORUN | 设置注册表 Run 键实现持久化 | | CMD | 执行攻击者发送的任意 Shell 命令 | | OFF | 关闭 RAT 进程 |

持久化

通过注册表 Run 键实现开机自启动：

reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v “REDACTED” /t REG_SZ /d “”C:\Users\REDACTED\AppData\Roaming\php\php.exe” “C:\Users\REDACTED\AppData\Roaming\php\wefs.cfg”” /f

横向移动

攻击者使用 RDP（远程桌面协议）在受害者环境中横向移动，目标覆盖多个行业的广泛组织。

────────────────

IoC 情报

配置文件哈希

| | | | — | — | | 文件名 | SHA256 | | config.cfg (27392B) | 28a9982cf2b4fc53a1545b6ed0d0c1788ca9369a847750f5652ffa0ca7f7b7d3 | | config.cfg (28268B) | 8afd6c0636c5d70ac0622396268786190a428635e9cf28ab23add939377727b0 |

C2 域名（Cloudflare Tunnel）

| | | | — | — | | 类型 | 值 | | C2 域名 | existed-bunch-balance-councils[.]trycloudflare[.]com | | C2 域名 | ferrari-rolling-facilities-lounge[.]trycloudflare[.]com | | C2 域名 | galleries-physicians-psp-wv[.]trycloudflare[.]com | | C2 域名 | evidence-deleted-procedure-bringing[.]trycloudflare[.]com | | C2 域名 | nowhere-locked-manor-hs[.]trycloudflare[.]com | | C2 域名 | ranked-accordingly-ab-hired[.]trycloudflare[.]com |

备用 C2 IP

| | | | — | — | | 类型 | 值 | | Fallback IP | 64[.]95[.]12[.]71 | | Fallback IP | 184[.]95[.]51[.]165 |

────────────────

检测建议

• 监控 PowerShell 调用 PHP 可执行文件的异常行为 • 关注 AppData\Roaming\php\ 目录下的可疑文件 • 检测注册表 Run 键中的非常规持久化项 • 对 trycloudflare.com 域名的出站连接实施告警 • 监控 rundll32.exe 的异常调用链

⚠ 防御提示：Interlock 组织正从 JavaScript 向 PHP 迁移其 RAT 工具链，这表明攻击者在持续寻找绕过传统检测的方法。建议安全团队将 PHP 运行时纳入终端监控范围，并对 Cloudflare Tunnel 滥用保持警惕。

────────────────

来源：The DFIR Report & Proofpoint 原文链接：https://thedfirreport.com/2025/07/14/kongtuke-filefix-leads-to-new-interlock-rat-variant/ 发布日期：2025 年 7 月 14 日

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Desync InfoSec bitbot bitbot《KongTuke FileFix 攻击链：新型 PHP 版 Interlock RAT 深度剖析》