Interlock adopta FileFix: se replantea la ingeniería social

Los ciberdelincuentes redoblan su ingenio para burlar la protección convencional, y la adopción de la técnica FileFix por el grupo de ransomware Interlock ilustra a la perfección esta preocupante tendencia. Este nuevo método de ataque, demostrado por el investigador de seguridad mr.d0x y desplegado operativamente por Interlock desde julio de 2025, representa una evolución significativa en las técnicas de ingeniería social, explotando la confianza que depositamos en las interfaces habituales de Windows.

A diferencia de los ataques tradicionales que se basan en vulnerabilidades de software, FileFix arma (transforma en un arma ofensiva con fines maliciosos) funciones legítimas del sistema operativo para engañar a los usuarios. Este enfoque convierte el Explorador de archivos de Windows -una herramienta cotidiana- en un vector de infección, marcando un punto de inflexión en las estrategias de acceso inicial de los ciberdelincuentes.

Table des matières

La anatomía de FileFix: una sofisticación formidable

De los cimientos de ClickFix a la innovación de FileFix

La técnica FileFix tiene sus orígenes en el método ClickFix. Introducido por primera vez a principios de 2024, este método de ingeniería social explota mecanismos conocidos de Windows para manipular a las víctimas y desplegar cargas útiles maliciosas con una eficacia desconcertante.

El principio básico de ClickFix se basa en señuelos visuales que imitan interfaces legítimas, normalmente mensajes de error del sistema, comprobaciones CAPTCHA o protecciones anti-bot. Estos elementos de interfaz falsos se presentan a los usuarios a través de sitios web comprometidos, archivos HTML adjuntos o campañas de phishing. Cuando la víctima interactúa con estos señuelos haciendo clic en un botón como «Verificar» o «Resolver», se copia automáticamente un script malicioso en el portapapeles. Simultáneamente, aparecen instrucciones convincentes que guían al usuario para que abra el cuadro de diálogo Ejecutar de Windows (Win+R) para pegar y ejecutar el contenido del portapapeles.

En septiembre de 2024, por ejemplo, los investigadores de Proofpoint observaron una campaña en alemán que utilizaba la técnica ClickFix con un CAPTCHA falso para dirigirse específicamente a organizaciones suizas haciéndose pasar por el popular mercado Ricardo.

ClickFix phishing attack through Ricardo swiss website — *Captura de pantalla de un sitio de phishing que imita a Ricardo con instrucciones ClickFix – Fuente: Proofpoint*

FileFix perfecciona este enfoque trasladando el ataque al entorno familiar y tranquilizador del Explorador de archivos de Windows. La investigación original de mr.d0x, publicada el 23 de junio de 2025, demuestra cómo una página web maliciosa puede abrir simultáneamente una ventana del Explorador de Windows y cargar silenciosamente un comando PowerShell camuflado desde el portapapeles del usuario.

Mecanismo de ejecución altamente sofisticado

El proceso de infección de FileFix despliega una secuencia meticulosamente orquestada, diseñada según principios avanzados de psicología del comportamiento para aumentar las posibilidades de compromiso. Esta técnica explota nuestra confianza en las interfaces habituales del sistema, creando una experiencia tan natural que incluso los usuarios más sofisticados apenas pueden distinguir el ataque de una interacción legítima con el sistema.

En este vídeo, John Hammond ofrece un análisis detallado y una demostración práctica de FileFix, ilustrando de forma concreta los mecanismos utilizados para explotar el Explorador de Windows y las técnicas empleadas para eludir las protecciones del sistema.

secuencia de ataque detallada :

Arranque psicológico: la víctima visita una página web comprometida que muestra una comprobación CAPTCHA falsa o un mensaje de error convincente.
Apertura automática: un script JavaScript activa la apertura de una ventana del Explorador de archivos de Windows.
Manipulación del portapapeles: al mismo tiempo, el script carga un comando PowerShell malicioso en el portapapeles.
Instrucciones engañosas: se indica al usuario que «solucione» un supuesto problema pegando el contenido del portapapeles en la barra de direcciones del Explorador.
Ejecución silenciosa: cuando el usuario pulsa «Intro», Windows interpreta y ejecuta el comando PowerShell, desencadenando la infección.

Adopción operativa de FileFix por Interlock

Asociación con la infraestructura KongTuke

La adopción de FileFix por parte de Interlock no se ha producido en el vacío. Según el análisis detallado de The DFIR Report, el grupo ha establecido una asociación estratégica con el sistema de distribución de tráfico KongTuke (TDS), también conocido como LandUpdate808.

FileFix attack by Interlock ransomware — *Ejemplo de ataque FileFix del ransomware Interlock – Fuente: The DFIR Report*

Esta infraestructura permite distribuir masivamente cargas útiles a través de sitios web legítimos comprometidos, mantener la resistencia operativa mediante la rotación automática de dominios, evitar la detección por los sistemas de seguridad tradicionales y dirigirse específicamente a las víctimas según criterios geográficos y técnicos.

La investigación de Recorded Future sobre TAG-124 revela que KongTuke sirve a múltiples grupos ciberdelictivos, entre ellos Rhysida, SocGholish y ahora Interlock, lo que demuestra la profesionalización de los servicios de infraestructuras delictivas.

TAG 124 infrastructure — *Configuración de la infraestructura TAG-124 – Fuente: Recorded Future*

Evolución hacia la variante PHP del RAT (troyano de acceso remoto)

La implementación de FileFix por Interlock va acompañada de una importante evolución técnica en su arsenal malicioso. Los investigadores de The DFIR Report y Proofpoint han identificado una nueva variante de la RAT de Interlock basada en PHP, que sustituye a las versiones anteriores que utilizaban Node.js (NodeSnake).

Esta migración a PHP ofrece varias ventajas estratégicas: mayor portabilidad, ya que PHP es un lenguaje interpretado ampliamente soportado, lo que permite que el malware se ejecute en una variedad de plataformas con modificaciones mínimas. Aumenta la discreción, ya que el uso de PHP puede dificultar la detección por parte de los sistemas de seguridad tradicionales, especialmente los optimizados para detectar ejecutables tradicionales de Windows. Por último, el mantenimiento se simplifica porque los scripts PHP son más fáciles de modificar y adaptar que las aplicaciones Node.js, lo que permite que las capacidades maliciosas evolucionen rápidamente.

Capacidades técnicas avanzadas de la RAT PHP de Interlock

Reconocimiento automatizado y perfilado del sistema

El análisis técnico revela que la nueva variante de PHP realiza un reconocimiento inmediato y exhaustivo del sistema en cuanto se ejecuta. El malware recopila automáticamente información detallada del sistema a través del comando systeminfo, un inventario de procesos y servicios en ejecución, configuración de red y tabla ARP para identificar sistemas adyacentes, nivel de privilegios (USUARIO, ADMINISTRADOR o SISTEMA) y mapeo de unidades montadas y accesibles.

Esta recopilación de información permite a los operadores evaluar inmediatamente el valor del objetivo y adaptar su estrategia de ataque en consecuencia.

Infraestructura C2 resistente y enmascarada

La RAT PHP de Interlock implementa una arquitectura de mando y control especialmente robusta. Los dominios Cloudflare Tunnel permiten al malware enmascarar la ubicación real de los servidores de mando y control, aprovechando la infraestructura legítima para evitar la detección. Se incorporan direcciones IP de respaldo para garantizar que las comunicaciones continúen incluso si se cierran los túneles principales. El cifrado de las comunicaciones preserva la confidencialidad de los comandos y los datos filtrados entre la RAT y la infraestructura C2 (Mando y Control).

Capacidades de ejecución ampliadas

Las capacidades operativas de la RAT PHP son complejas: descarga y ejecución de archivos EXE o DLL arbitrarios, establecimiento de persistencia a través de claves de registro de Windows, ejecución de comandos shell para la administración del sistema, facilitación del movimiento lateral a través de RDP y autodestrucción bajo comando para evitar el análisis forense.

FileFix 2.0: bypass MOTW y aplicaciones HTML maliciosas

Evolución hacia aplicaciones HTML (.hta)

Una investigación adicional de mr.d0x, publicada el 30 de junio de 2025, revela una importante evolución de FileFix que explota las aplicaciones HTML (.hta) para eludir las protecciones de Windows. Esta innovadora técnica utiliza la funcionalidad «Guardar como» de los navegadores para crear archivos ejecutables sin activar las alertas de seguridad.

El proceso se basa en una peculiaridad técnica: cuando se guarda una página HTML utilizando Ctrl+S con los tipos «Página web, archivo único» o «Página web, completa», el archivo descargado no recibe la marca de Windows de la Web (MOTW). Esta falta de marcado permite la ejecución directa sin advertencias de seguridad.

Demo FileFix 2.0 — Demo – Fuente : mr.d0x

Ver la demo en mayor calidad en el sitio web mr.d0x

Técnicas de elusión de la marca de la Web

El bypass MOTW representa un gran avance en la evasión de las defensas de Windows. Los archivos .hta pueden procesar contenido HTML y ejecutar JScript directamente, lo que permite ejecutar comandos del sistema a través de ActiveX. Este método convierte un simple archivo HTML en un ejecutable sigiloso, invisible para los mecanismos de protección tradicionales.

La técnica también explota las URI de datos con tipo MIME text/html, lo que permite a los atacantes codificar la carga maliciosa directamente en la URL y hacer que los navegadores la guarden sin MOTW.

Nuevos señuelos de ingeniería social

FileFix 2.0 introduce algunos señuelos deingeniería social especialmente sofisticados, como el guardado de «códigos de recuperación» o «códigos de copia de seguridad» para la autenticación multifactor. Estos señuelos aprovechan la familiaridad de los usuarios con los procedimientos legítimos de seguridad para engañarlos y hacer que descarguen y ejecuten archivos maliciosos.

La eficacia de estos nuevos pretextos reside en su credibilidad: los usuarios están acostumbrados a guardar códigos de recuperación de gran tamaño, por lo que la solicitud de descarga resulta perfectamente natural.

El ecosistema de ataque de FileFix en acción

Filtrado y selección sofisticados

El análisis revela que las campañas FileFix de Interlock aplican mecanismos de filtrado avanzados para maximizar la eficacia y minimizar al mismo tiempo la exposición a los sistemas de seguridad.

El código malicioso incrustado en los sitios comprometidos utiliza filtrado avanzado de IP para servir cargas útiles sólo a las víctimas objetivo, detección de entornos virtuales para evitar el análisis por parte de los investigadores, geolocalización para adaptar los señuelos a diferentes regiones y huella digital del navegador para personalizar el ataque.

Crecimiento explosivo y profesionalización

La técnica ClickFix, de la que FileFix es una evolución, está experimentando un crecimiento explosivo en el panorama de las amenazas. Según el Informe de Amenazas de ESET H1 2025, las detecciones de ClickFix y HTML/FakeCaptcha aumentaron un 517% entre la segunda mitad de 2024 y la primera mitad de 2025, lo que confirma la adopción masiva de estas técnicas por parte de los ciberdelincuentes.

HTML FakeCaptcha detection trend — *Tendencia de detección de HTML/FakeCaptcha septiembre 2024 – mayo 2025 – Fuente: ESET*

Este rápido crecimiento se explica por la probada efectividad de estas técnicas de ingeniería social, tal y como explica Dušan Lacika, Ingeniero Senior de Detección de ESET: «Lo que hace efectiva a esta nueva técnica de ingeniería social es que es lo suficientemente simple como para que la víctima siga las instrucciones, lo suficientemente creíble como para dar la impresión de que podría resolver un problema inventado, y aprovecha la probabilidad de que las víctimas no presten mucha atención a los comandos exactos que se les pide que peguen y ejecuten en su dispositivo.»

Estrategias de defensa y medidas de protección

Enfoque técnico preventivo

Frente a la evolución de las técnicas de FileFix, las organizaciones deben adoptar un enfoque de seguridad multicapa que combine medidas técnicas y formación humana. La configuración del sistema requiere una serie de ajustes críticos: desactivar la ejecución automática de PowerShell desde el Explorador de archivos, establecer reglas de AppLocker para controlar la ejecución de aplicaciones, configurar Windows Defender Application Guard para aislar los navegadores y habilitar el registro detallado para PowerShell y los scripts.

La seguridad de la red también requiere adaptaciones específicas: filtrado de DNS para bloquear dominios sospechosos de Cloudflare Tunnel, supervisión del tráfico hacia direcciones IP de infraestructuras maliciosas conocidas, segmentación de la red para limitar los movimientos laterales y supervisión de las conexiones RDP salientes.

Formación y concienciación críticas

La eficacia de los ataques FileFix depende totalmente de la ingeniería social, por lo que la formación de los usuarios es esencial. Los elementos clave de concienciación incluyen: reconocer las páginas de verificación CAPTCHA falsas, desconfiar de las instrucciones para pegar contenido en el Explorador de archivos, informar inmediatamente de comportamientos sospechosos en sitios web y comprender los riesgos de ejecutar comandos no verificados.

Detección de incidentes y respuesta

La detección temprana implica prestar atención a algunos indicadores específicos: ejecución inusual de php.exe desde carpetas de usuario, conexiones a dominios dudosos como trycloudflare.com, por ejemplo, cambios no autorizados en claves de registro de inicio automático y actividad sospechosa de PowerShell que implique descargas.

También puede ser útil monitorizar las entradas TypedPaths en el registro de Windows, que registran automáticamente las rutas tecleadas en el Explorador de Archivos, permitiendo la detección forense posterior al incidente, como señaló RussianPanda en X.

TypedPaths Registry entries — Entradas de registro TypedPaths – Fuente : @RussianPanda9xx

FileFix: por qué las empresas necesitan adaptarse urgentemente

La adopción de FileFix por grupos como Interlock revela la notable capacidad de los ciberdelincuentes para adaptarse a las defensas establecidas. Esta técnica ilustra la capacidad de los atacantes para secuestrar funcionalidades legítimas del sistema con el fin de eludir las protecciones existentes.

Las empresas y organizaciones deben ahora anticiparse a estos cambios tecnológicos reforzando simultáneamente sus capacidades de detección de comportamientos y sus programas de concienciación. El reto consiste en anticiparse a amenazas más rápidas que las actualizaciones de seguridad tradicionales.

Fuentes :

mr.d0x: FileFix – Una alternativa a ClickFix
mr.d0x: FileFix (Parte 2)
Proofpoint: Informe de seguridad: La técnica de ingeniería social ClickFix inunda el panorama de amenazas
Group-ib: ClickFix: La técnica de ingeniería social que utilizan los hackers para manipular a las víctimas
Sekoia : Táctica ClickFix: El encuentro fantasma
The DFIR Report : KongTuke FileFix conduce a una nueva variante del RAT Interlock
Recorded Future : Infraestructura TDS multicapa de TAG-124
Quorum Cyber : Informe sobre el malware NodeSnake (pdf)
Check Point Research : FileFix: el nuevo ataque de ingeniería social basado en ClickFix
The Hacker News : Nueva variante de Interlock RAT basada en PHP utiliza la entrega de FileFix
BleepingComputer : El ransomware Interlock adopta el método FileFix para distribuir malware
ESET : Informe sobre amenazas H1 2025
Departamento de Salud y Servicios Humanos (HHS’.’gov): Alerta sectorial sobre ataques ClickFix [PDF, 707 KB] (en inglés)

Florent Chassignol

Ciberseguridad, Ransomware