🔍 Contexte
Publié le 30 mars 2026 par Censys ARC (Andrew Northern), cet article présente l’analyse technique complète d’un toolkit d’accès distant inédit, baptisé CTRL, découvert via le scan d’open directories de Censys en février 2026. Aucun artefact n’était présent sur VirusTotal, Hybrid Analysis ou dans les flux de threat intelligence publics au moment de la publication.
🎯 Description du toolkit CTRL
CTRL est un toolkit post-exploitation développé en .NET par un opérateur russophone, distribué via un fichier LNK weaponisé (Private Key #kfxm7p9q_yek.lnk) se faisant passer pour un dossier Windows. Il combine :
- Phishing de credentials : application WPF imitant Windows Hello PIN, avec photo et nom réels de la victime, animations Lottie authentiques, validation du PIN via UI Automation
- Keylogging : capture continue des frappes clavier vers
C:\Temp\keylog.txt - Hijacking RDP : patching de
termsrv.dll, installation de RDP Wrapper, sessions concurrentes illimitées - Tunneling FRP : FRP v0.65.0 (Go DLL chargé en mémoire via PE mapping manuel) établissant des tunnels inverses vers le serveur C2
- Persistance et évasion : stockage des payloads en registre, tâches planifiées, bypass UAC via
fodhelper.exe, comptes backdoor cachés - Spoofing de notifications : toast notifications imitant Edge, Chrome, Brave, Opera, Vivaldi, Yandex, etc.
⚙️ Chaîne d’attaque (6 étapes)
- Stage 1 – LNK Dropper : fichier LNK de 60 Ko avec icône dossier, timestamps zeroed, description “Polycue”, payload base64 auto-contenu
- Stage 2 – PowerShell Loader (3 couches) : décodage base64, obfuscation arithmétique, stockage du stager en registre (
ShellStateVersion1), exécution en mémoire viaAssembly.Load() - Stage 3 – Stager
StandaloneProgram: orchestrateur 28 Ko, bypass UAC viafodhelper.exe/wlrmdr.exe, téléchargement des payloads, configuration FRP, création de tâches planifiées, compte backdoor (mot de passeADAD) - Stage 4 –
ctrl.exe: loader AES-256-CBC déchiffrant le payload principal “ctrl Management Platform v2.0.0”, agent C2 dual-mode (serveur/client) via named pipectrlPipe - Stage 5 –
FRPWrapper.exe: déchiffrement AES-256-CBC d’une DLL Go native (FRP v0.65.0), chargement en mémoire via PE mapper manuel - Stage 6 –
RDPWrapper.exe: activation RDP illimitée, patchingtermsrv.dll, exclusions Defender
🌐 Infrastructure C2
- Domaine
hui228.ru(FreeDNS/afraid.org) hébergé sur Partner Hosting LTD (AS215826), ASN UK créé en février 2025, serveurs à Francfort - IPs :
194.33.61.36(actif janvier-février 2026) et109.107.168.18(DNS basculé le 27 février 2026) - Port 7000 : serveur FRP (token auth :
ADAD) - Port 82 : hébergement des payloads
- Port 7500 : dashboard FRP protégé par HTTP Basic Auth
- Certificat TLS auto-signé sur port 908 :
CN=DESKTOP-GI428R8 - SSH vulnérable à CVE-2024-6387, CVE-2025-26465, CVE-2025-26466
🧩 Indicateurs hôtes notables
- Registre :
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\(valeursShellStateVersion1,IconSizeVersion1,IconUnderlineVersion1) - Tâches planifiées :
DriverSvcTask,NetTcpSvc,TermSvcHost,WindowsHealthMonitor - Comptes cachés :
Administrator,Admin,Windows(mot de passeADAD) - Named pipe :
ctrlPipe - Fichiers :
C:\ProgramData\SystemTools\ctrl.exe,C:\ProgramData\frp\frpc.toml,C:\Temp\keylog.txt - SID créateur LNK :
S-1-5-21-445479930-4070444189-1846254649-1001
📄 Nature de l’article
Il s’agit d’une analyse technique approfondie publiée par Censys ARC, visant à documenter un toolkit inédit, fournir des IOCs exploitables et des pistes de détection pour les équipes de sécurité.
🧠 TTPs et IOCs détectés
TTP
- T1566.002 — Phishing: Spearphishing Link (Initial Access)
- T1204.002 — User Execution: Malicious File (Execution)
- T1059.001 — Command and Scripting Interpreter: PowerShell (Execution)
- T1547.001 — Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder (Persistence)
- T1053.005 — Scheduled Task/Job: Scheduled Task (Persistence)
- T1136.001 — Create Account: Local Account (Persistence)
- T1112 — Modify Registry (Defense Evasion)
- T1027 — Obfuscated Files or Information (Defense Evasion)
- T1140 — Deobfuscate/Decode Files or Information (Defense Evasion)
- T1548.002 — Abuse Elevation Control Mechanism: Bypass User Account Control (Privilege Escalation)
- T1055 — Process Injection (Defense Evasion)
- T1562.001 — Impair Defenses: Disable or Modify Tools (Defense Evasion)
- T1056.001 — Input Capture: Keylogging (Collection)
- T1056.002 — Input Capture: GUI Input Capture (Collection)
- T1021.001 — Remote Services: Remote Desktop Protocol (Lateral Movement)
- T1572 — Protocol Tunneling (Command and Control)
- T1090.002 — Proxy: External Proxy (Command and Control)
- T1005 — Data from Local System (Collection)
- T1552.002 — Unsecured Credentials: Credentials in Registry (Credential Access)
- T1078.003 — Valid Accounts: Local Accounts (Defense Evasion)
- T1564.002 — Hide Artifacts: Hidden Users (Defense Evasion)
- T1218 — System Binary Proxy Execution (Defense Evasion)
- T1003.003 — OS Credential Dumping: NTDS (Credential Access)
- T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
IOC
- IPv4 :
194.33.61.36 - IPv4 :
109.107.168.18 - IPv4 :
146.19.213.155 - Domaines :
hui228.ru - URLs :
http://hui228.ru:82/hosted/ - SHA256 :
5d009f6f46979fbc170ede90fca15f945d6dae5286221cca77fa26223a5fe931 - CVEs :
CVE-2024-6387 - CVEs :
CVE-2025-26465 - CVEs :
CVE-2025-26466 - Fichiers :
Private Key #kfxm7p9q_yek.lnk - Fichiers :
ctrl.exe - Fichiers :
RDPWrapper.exe - Fichiers :
FRPWrapper.exe - Fichiers :
frpc.toml - Fichiers :
keylog.txt - Fichiers :
win_update.vbs - Chemins :
C:\ProgramData\SystemTools\ctrl.exe - Chemins :
C:\ProgramData\frp\frpc.toml - Chemins :
C:\Temp\keylog.txt - Chemins :
C:\Temp\win_update.vbs - Chemins :
C:\Program Files\RDP Wrapper\
Malware / Outils
- CTRL (rat)
- FRP (Fast Reverse Proxy) v0.65.0 (tool)
- RDP Wrapper (tool)
- StealUser (stealer)
🔗 Source originale : https://censys.com/blog/under-ctrl-dissecting-a-previously-undocumented-russian-net-access-framework/