گروه باج‌افزار Interlock در حال استقرار تروجان دسترسی از راه دور جدیدی به نام NodeSnake علیه مؤسسات آموزشی برای دسترسی مداوم به شبکه‌های شرکتی است. محققان QuorumCyber گزارش داده‌اند که NodeSnake در حداقل دو مورد هدف‌گیری دانشگاه‌های بریتانیا در ژانویه و مارس ۲۰۲۵ مستقر شده است. دو نمونه بدافزار به طور قابل توجهی متفاوت هستند که نشان‌دهنده توسعه فعال برای افزودن ویژگی‌ها و قابلیت‌های جدید به NodeSnake است.

حملات جدید Interlock علیه مؤسسات آموزشی با ایمیل‌های فیشینگ حاوی لینک‌ها یا پیوست‌های مخرب آغاز می‌شود که منجر به آلودگی RAT NodeSnake می‌شود. این بدافزار جاوااسکریپت که با NodeJS اجرا می‌شود، پس از آلودگی با استفاده از اسکریپت‌های PowerShell یا CMD برای نوشتن ورودی رجیستری فریبنده‌ای به نام ‘ChromeUpdater’ برای جعل هویت به‌روزرسان گوگل کروم، پایداری برقرار می‌کند. بدافزار دارای رمزگذاری سنگین کد، رمزنگاری XOR با کلید چرخشی و بذرهای تصادفی است و می‌تواند فرآیندهای فعال را متوقف کرده یا بارهای اضافی EXE، DLL یا جاوااسکریپت را بر روی دستگاه بارگذاری کند.