Des chercheurs en cybersécurité ont découvert un kit d’outils d’accès à distance d’origine russe qui est distribué via des fichiers de raccourci Windows malveillants (LNK) déguisés en dossiers de clés privées.

Selon Censys, la boîte à outils CTRL est conçue sur mesure à l’aide de .NET et comprend divers exécutables pour faciliter l’hameçonnage d’identifiants, l’enregistrement de frappe, le détournement du protocole de bureau à distance (RDP) et le tunnelage inverse via Fast Reverse Proxy (FRP).

« Les exécutables permettent le chargement de charges utiles chiffrées, la collecte d’identifiants via une interface utilisateur de phishing Windows Hello soignée, l’enregistrement des frappes au clavier, le détournement de sessions RDP et le tunnelage par proxy inverse via FRP », a déclaré Andrew Northern, chercheur en sécurité chez Censys .

La plateforme de gestion de la surface d’attaque a déclaré avoir récupéré CTRL à partir d’un répertoire ouvert à 146.19.213[.]155 en février 2026. Les chaînes d’attaque distribuant la boîte à outils s’appuient sur un fichier LNK armé (« Clé privée #kfxm7p9q_yek.lnk ») avec une icône de dossier pour inciter les utilisateurs à double-cliquer dessus.

Cela déclenche un processus en plusieurs étapes, chaque étape déchiffrant ou décompressant la suivante, jusqu’à l’exécution du kit d’outils. Le programme d’installation de fichiers LNK est conçu pour lancer une commande PowerShell cachée, qui efface ensuite les mécanismes de persistance existants du dossier de démarrage Windows de la victime.

Il décode également un blob encodé en Base64 et l’exécute en mémoire. Le module d’exécution, quant à lui, teste la connectivité TCP à hui228[.]ru:7000 et télécharge les charges utiles de l’étape suivante depuis le serveur. De plus, il modifie les règles du pare-feu, configure la persistance à l’aide de tâches planifiées, crée des utilisateurs locaux backdoor et lance un serveur shell cmd.exe sur le port 5267, accessible via le tunnel FRP.

L’un des fichiers téléchargés, « ctrl.exe », sert de chargeur .NET pour lancer un fichier intégré, la plateforme de gestion CTRL, qui peut fonctionner comme serveur ou client selon les arguments de la ligne de commande. La communication s’effectue via un canal nommé Windows.

« Grâce à sa conception à double mode, l’opérateur déploie ctrl.exe une première fois sur la machine victime (via le serveur de déploiement), puis interagit avec ce dernier en exécutant le client ctrl.exe via une session RDP tunnelée par FRP », explique Censys. « L’architecture de canal nommé maintient tout le trafic des commandes C2 local à la machine victime ; seul le flux de la session RDP elle-même transite par le réseau. »

Les commandes prises en charge permettent au logiciel malveillant de collecter des informations système, de lancer un module conçu pour la collecte d’identifiants et de démarrer un enregistreur de frappe en tant que service en arrière-plan (s’il est configuré comme serveur) afin de capturer toutes les frappes dans un fichier nommé « C:\Temp\keylog.txt » en installant un crochet de clavier, puis d’exfiltrer les résultats.

Le composant de récupération d’identifiants est lancé sous forme d’application WPF (Windows Presentation Foundation) qui imite une véritable invite de vérification de code PIN Windows afin de capturer le code PIN système. Ce module, outre le blocage des tentatives de fermeture de la fenêtre d’hameçonnage via des raccourcis clavier tels que Alt+Tab, Alt+F4 ou F4, valide le code PIN saisi par rapport à l’invite d’identifiants Windows réelle grâce à l’automatisation de l’interface utilisateur via la méthode SendKeys() .

« Si le code PIN est refusé, la victime est redirigée vers un message d’erreur », explique Northern. « La fenêtre reste ouverte même si le code PIN est validé par le système d’authentification Windows. Le code PIN capturé est enregistré avec le préfixe [STEALUSER PIN CAPTURED] dans le même fichier enregistreur de frappe que celui utilisé par le programme malveillant fonctionnant en arrière-plan. »

L’une des commandes intégrées à la boîte à outils permet d’envoyer des notifications toast imitant des navigateurs web tels que Google Chrome, Microsoft Edge, Brave, Opera, Opera GX, Vivaldi, Yandex et Iron afin de procéder à des vols d’identifiants supplémentaires ou de déployer d’autres charges utiles. Les deux autres charges utiles utilisées lors de cette attaque sont listées ci-dessous :

• FRPWrapper.exe est une DLL Go chargée en mémoire pour établir des tunnels inverses pour RDP et un shell TCP brut via le serveur FRP de l’opérateur.
• RDPWrapper.exe, qui permet un nombre illimité de sessions RDP simultanées.

« Ce kit d’outils témoigne d’une sécurité opérationnelle rigoureuse. Aucun des trois fichiers binaires hébergés ne contient d’adresses C2 codées en dur », a déclaré Censys. « Toute exfiltration de données s’effectue via le tunnel FRP par RDP : l’opérateur se connecte au poste de travail de la victime et lit les données de frappe au clavier via le canal nommé ctrl. Cette architecture laisse un minimum de traces numériques, contrairement aux méthodes traditionnelles de balisage C2. »

« La boîte à outils CTRL illustre une tendance vers des boîtes à outils dédiées, destinées à un seul opérateur, qui privilégient la sécurité opérationnelle à l’étendue des fonctionnalités. En acheminant toutes les interactions via des tunnels inverses FRP vers des sessions RDP, l’opérateur évite les schémas de balise détectables sur le réseau qui caractérisent les RAT commerciaux. »