Investigadores de ciberseguridad han descubierto un conjunto de herramientas de acceso remoto de origen ruso que se distribuye a través de archivos maliciosos de acceso directo de Windows (LNK) disfrazados de carpetas de claves privadas.
El CONTROL El kit de herramientas, según Censys, está diseñado a medida utilizando .NET e incluye varios ejecutables» para facilitar el phishing de credenciales, el registro de teclas, el secuestro del Protocolo de escritorio remoto (RDP) y el túnel inverso a través de Fast Reverse Proxy (FRP).
«Los ejecutables proporcionan carga de carga cifrada, recolección de credenciales a través de una pulida interfaz de usuario de phishing de Windows Hello, registro de teclas, secuestro de sesión RDP y túnel de proxy inverso a través de FRP», dijo el investigador de seguridad de Censys, Andrew Northern.
La plataforma de gestión de la superficie de ataque dijo que recuperó CTRL de un directorio abierto en 146.19.213(.)155 en febrero de 2026. Las cadenas de ataque que distribuyen el kit de herramientas se basan en un archivo LNK armado («Clave privada #kfxm7p9q_yek.lnk») con un ícono de carpeta para engañar a los usuarios para que hagan doble clic en él.
Esto desencadena un proceso de varias etapas, en el que cada etapa descifra o descomprime la siguiente, hasta que conduce a la implementación del kit de herramientas. El dropper de archivos LNK está diseñado para ejecutar un comando oculto de PowerShell, que luego borra los mecanismos de persistencia existentes de la carpeta de inicio de Windows de la víctima.
También decodifica un blob codificado en Base64 y lo ejecuta en la memoria. El stager, por su parte, prueba la conectividad TCP con hui228(.)ru:7000 y descarga las cargas útiles de la siguiente etapa desde el servidor. Además, modifica las reglas del firewall, configura la persistencia mediante tareas programadas, crea usuarios locales de puerta trasera y genera un servidor shell cmd.exe en el puerto 5267 al que se puede acceder a través del túnel FRP.
Una de las cargas útiles descargadas, «ctrl.exe», funciona como un cargador .NET para iniciar una carga útil integrada, CTRL Management Platform, que puede servir como servidor o cliente dependiendo de los argumentos de la línea de comandos. La comunicación se produce a través de una canalización con nombre de Windows.
«El diseño de modo dual significa que el operador implementa ctrl.exe una vez en la víctima (a través del stager) y luego interactúa con ella ejecutando el cliente ctrl.exe a través de la sesión RDP canalizada por FRP», dijo Censys. «La arquitectura de canalización con nombre mantiene todo el tráfico de comandos C2 local en la máquina víctima; nada atraviesa la red excepto la propia sesión RDP».
Los comandos admitidos permiten que el malware recopile información del sistema, inicie un módulo diseñado para la recolección de credenciales e inicie un registrador de teclas como servicio en segundo plano (si está configurado como servidor) para capturar todas las pulsaciones de teclas en un archivo llamado «C:Tempkeylog.txt» instalando un gancho de teclado y filtrando los resultados.
El componente de recolección de credenciales se inicia como una aplicación de Windows Presentation Foundation (WPF) que imita un mensaje de verificación de PIN de Windows real para capturar el PIN del sistema. El módulo, además de bloquear los intentos de escapar de la ventana de phishing mediante atajos de teclado como Alt+Tab, Alt+F4 o F4, valida el PIN ingresado con la solicitud real de credenciales de Windows a través de la automatización de la interfaz de usuario mediante el método SendKeys().
«Si se rechaza el PIN, la víctima recibe un mensaje de error», explicó Northern. «La ventana permanece abierta incluso si el PIN se valida exitosamente con el sistema de autenticación de Windows real. El PIN capturado se registra con el prefijo (PIN DE LADRÓN CAPTURADO) en el mismo archivo de registro de teclas utilizado por el registrador de teclas en segundo plano».
Uno de los comandos integrados en el kit de herramientas le permite enviar notificaciones del sistema haciéndose pasar por navegadores web como Google Chrome, Microsoft Edge, Brave, Opera, Opera GX, Vivaldi, Yandex y Iron para realizar robos de credenciales adicionales o entregar otras cargas útiles. Las otras dos cargas útiles lanzadas como parte del ataque se enumeran a continuación:
- FRPWrapper.exe, que es una DLL de Go que se carga en la memoria para establecer túneles inversos para RDP y un shell TCP sin formato a través del servidor FRP del operador.
- RDPWrapper.exe, que permite sesiones RDP simultáneas ilimitadas.
«El conjunto de herramientas demuestra una seguridad operativa deliberada. Ninguno de los tres binarios alojados contiene direcciones C2 codificadas», dijo Censys. «Toda la filtración de datos se produce a través del túnel FRP a través de RDP: el operador se conecta al escritorio de la víctima y lee los datos del registro de teclas a través de la canalización denominada Ctrl. Esta arquitectura deja artefactos forenses de red mínimos en comparación con los patrones de baliza C2 tradicionales».
«El kit de herramientas CTRL demuestra una tendencia hacia kits de herramientas diseñados específicamente para un solo operador que priorizan la seguridad operativa sobre la amplitud de funciones. Al enrutar toda la interacción a través de túneles inversos de FRP a sesiones RDP, el operador evita los patrones de balizas detectables por la red que caracterizan a los RAT básicos».