# Interlock RAT > Tipo: **RAT / backdoor** - [Sekoia](https://blog.sekoia.io/interlock-ransomware-evolving-under-the-radar/) > [!info] Backdoor Principal do Grupo Interlock - Multi-Plataforma e Em Evolução > O Interlock RAT e o implante customizado central do grupo de ransomware [[interlock-ransomware|Interlock]], ativo desde outubro de 2024. Iniciou como backdoor PowerShell/DLL, evoluiu para variante Node.js (NodeSnake) e em junho de 2025 ganhou variante PHP distribuida via FileFix. Usa TCP porta 443 com criptografia customizada e tem capacidades de reverse shell, gerenciamento de arquivos e persistência via registro Windows. Precede o deploy do ransomware Interlock em ataques de dupla extorsao. ## Visão Geral O [[interlock-powershell-rat|Interlock RAT]] e o backdoor proprietario do grupo [[interlock-ransomware|Interlock]], que emergiu em outubro de 2024 com ataques de big game hunting combinando dupla extorsao. O implante passou por evolução rapida: a versao original era uma DLL de aproximadamente 1,3MB (desempacotada: ~180KB) com comunicação TCP na porta 443 com criptografia customizada. Em 2025, surgiram variantes baseadas em Node.js (chamada NodeSnake ou NodeSnakeRAT) e uma variante PHP entregue via técnica FileFix. A cadeia de infecção do Interlock RAT começa com sites comprometidos que servem fake updaters de browser (Chrome, Edge) - quando executados, os instaladores falsos iniciam um backdoor PowerShell que baixa o Interlock RAT. Em 2025, o grupo adotou ClickFix (paginas CAPTCHA falsas que induzem o usuario a colar e executar comandos PowerShell no Windows Run) e posteriormente FileFix (mesma ideia via barra de endereco do File Explorer). O RAT implementa reconhecimento abrangente: coleta de informações do sistema via `systeminfo` e `tasklist`, enumeracao de drives via `Get-PSDrive`, busca de dominio AD via `[adsisearcher]` e `nltest`, e identificação de privilegios (USER/ADMIN/SYSTEM). Após reconhecimento, o atacante usa RDP, AnyDesk ou ScreenConnect para movimento lateral antes de deployar o [[berserkstealer|BerserkStealer]], keyloggers e finalmente o ransomware Interlock. **Plataformas:** Windows (PowerShell, Node.js, PHP), Linux (NodeSnake) ## Como Funciona O Interlock RAT opera em múltiplas variantes com evolução continua: 1. **Infecção via Fake Updaté**: site comprometido serve instalador falso de Chrome/Edge que executa PowerShell backdoor 2. **Variante ClickFix/FileFix**: pagina CAPTCHA ou File Explorer trick induz execução de PowerShell malicioso 3. **Interlock RAT instalado**: DLL (~1.3MB empacotada) ou Node.js payload instalado e configurado 4. **Persistência**: chave de registro Run ([[t1547-001-registry-run-keys|T1547.001]]) para reativacao no login 5. **Reconhecimento**: systeminfo, tasklist, Get-PSDrive, nltest, AD enumeration 6. **Acesso manual**: atacante usa RDP/AnyDesk com credenciais roubadas para movimento lateral 7. **Deploy de stealer**: [[berserkstealer|BerserkStealer]] ou [[s1213-lumma-stealer|LummaStealer]] para coleta de credenciais e documentos 8. **Ransomware**: Interlock ransomware deployado em toda a rede via GPO ```mermaid graph TB A["Site Comprometido<br/>Fake Browser Updaté<br/>ClickFix / FileFix 2025"] --> B["PowerShell Backdoor<br/>XOR-encrypted + compressed<br/>Comúnicação HTTP T1071.001"] B --> C["Interlock RAT Instalado<br/>DLL 1.3MB ou Node.js<br/>Persistência registro T1547.001"] C --> D["Reconhecimento Extenso<br/>systeminfo tasklist nltest<br/>AD enum T1016 T1057"] D --> E["Acesso Manual via RDP<br/>AnyDesk ScreenConnect<br/>Movimento lateral"] E --> F["BerserkStealer Deploy<br/>Credenciais + documentos<br/>Dupla extorsao prep"] F --> G["Interlock Ransomware<br/>Windows + Linux ESXi<br/>AES + nota de resgaté"] classDef infect fill:#e74c3c,color:#fff classDef ps fill:#e67e22,color:#fff classDef rat fill:#8e44ad,color:#fff classDef recon fill:#2980b9,color:#fff classDef lateral fill:#27ae60,color:#fff classDef steal fill:#c0392b,color:#fff classDef ransomware fill:#2c3e50,color:#fff class A infect class B ps class C rat class D recon class E lateral class F steal class G ransomware ``` ## Timeline ```mermaid timeline title Interlock RAT - Historico Out 2024 : Interlock RAT identificado pela primeira vez : Cisco Talos analisa campanha inaugural : DLL ~1.3MB com TCP 443 custom encryption Nov 2024 : Talos publica análise completa : Variante Linux ELF confirmada Ján 2025 : ClickFix adotado como novo vetor : BerserkStealer integrado ao toolkit Mar 2025 : Sekoia publica análise evoluida : Node.js variant NodeSnake identificado Jun 2025 : Variante PHP via FileFix : DFIR Report + Proofpoint análise 2025+ : Grupo continua evolução rapida de tooling ``` ## Técnicas Utilizadas | Tática | ID | Técnica | |--------|-----|---------| | Initial Access | [[t1566-002-spearphishing-link\|T1566.002]] | Link para site com fake browser update | | Execution | [[t1059-001-powershell\|T1059.001]] | PowerShell backdoor e loaders | | Execution | [[t1204-001-malicious-link\|T1204.001]] | Usuario clica em fake update ou ClickFix | | Persistence | [[t1547-001-registry-run-keys\|T1547.001]] | Chave Run para reativacao no login | | Defense Evasion | [[t1027-obfuscated-files-or-information\|T1027]] | Packer customizado e XOR obfuscation | | Discovery | [[t1082-system-information-discovery\|T1082]] | systeminfo + tasklist | | Discovery | [[t1016-system-network-configuration-discovery\|T1016]] | Get-PSDrive + nltest + AD enumeration | | Discovery | [[t1057-process-discovery\|T1057]] | Listagem de processos em execução | | C2 | [[t1071-001-web-protocols\|T1071.001]] | HTTP/HTTPS para C2 e download | | C2 | [[t1105-ingress-tool-transfer\|T1105]] | Download de BerserkStealer e keylogger | ## Relevância LATAM/Brasil O Interlock RAT e diretamente relevante para o Brasil. O grupo [[interlock-ransomware|Interlock]] tem operado contra organizacoes brasileiras e o vetor de fake browser updates e ClickFix e amplamente explorado na regiao. O modelo de ataque - comprometer sites populares para servir fake updaters - e especialmente eficaz em ambientes onde usuarios estao acostumados a instalar atualizacoes fora dos canais oficiais de TI. O Advisory FBI/CISA AA25-203A (2025) cobre específicamente o Interlock, incluindo o RAT e o [[berserkstealer|BerserkStealer]], fornecendo IoCs atualizados para uso em plataformas de segurança. Organizacoes dos setores [[healthcare|saúde]], educação e [[government|governo]] no Brasil devem implementar as deteccoes do advisory. **Setores historicamente impactados:** [[healthcare|saúde]] - [[government|governo]] - educação - [[technology|tecnologia]] ## Detecção - Monitorar execução de powershell.exe com flags como -WindowStyle Hidden e -EncodedCommand - Detectar downloads de EXE/DLL de User-Agent navegador para locais temporarios (Temp, AppData) - Alertar para criação de chaves Run por instaladores que nao sao de fornecedores conhecidos - Correlacionar com execução de `systeminfo`, `tasklist` e `nltest` em rapida sucessao por um mesmo processo ```sigma title: Interlock RAT ClickFix PowerShell Execution Pattern status: experimental logsource: category: process_creation product: windows detection: selection_ps: ParentImage|endswith: - '\explorer.exe' Image|endswith: - '\powershell.exe' CommandLine|contains: - '-WindowStyle Hidden' - '-EncodedCommand' - 'DownloadString' condition: selection_ps level: high tags: - attack.execution - attack.t1059.001 ``` ## Referências - [1](https://blog.sekoia.io/interlock-ransomware-evolving-under-the-radar/) Sekoia - Interlock Ransomware Evolving Under the Radar (2025) - [2](https://blog.talosintelligence.com/emerging-interlock-ransomware/) Cisco Talos - Emerging Interlock Ransomware (2024) - [3](https://www.cisa.gov/news-events/cybersecurity-advisories/aa25-203a) CISA/FBI - AA25-203A Interlock Ransomware Advisory (2025) - [4](https://thehackernews.com/2025/07/new-php-based-interlock-rat-variant.html) The Hacker News - New PHP-Based Interlock RAT via FileFix (2025) - [5](https://research.splunk.com/stories/interlock_rat/) Splunk Security Content - Interlock RAT Detection Analytics (2025)