O kit de ferramentas russo CTRL, distribuído por meio de arquivos LNK maliciosos, sequestra conexões RDP através de túneis FRP.

Pesquisadores de cibersegurança revelaram uma toolkit de acesso remoto de origem russa, distribuída via arquivos suspeitos do tipo LNK que se passam por pastas de chaves privadas no Windows. A ferramenta, chamada CTRL, foi desenvolvida em .NET e possibilita phishing de credenciais, keylogging, sequestro de sessões RDP e tunelamento reverso via Fast Reverse Proxy (FRP). A infecção inicia com um arquivo LNK acionando comandos PowerShell ocultos, que limpam persistência antiga e baixam cargas maliciosas. O malware cria usuários locais, modifica regras de firewall e roda um servidor shell via porta 5267 acessível por FRP. O componente principal, ctrl.exe, opera em modos servidor ou cliente e usa pipes nomeados para comunicação local, evitando detecção em rede. Um phishing sofisticado imita a tela de autenticação do Windows para capturar o PIN do usuário, mesmo bloqueando tentativas de escapar da janela. A toolkit ainda simula notificações de navegadores para furto adicional de dados. Os componentes auxiliares facilitam sessões RDP ilimitadas e túneis reversos seguros. A arquitetura foca em segurança operacional para evitar rastreamento tradicional. A técnica é um exemplo recente de ferramentas especializadas por operadores únicos que priorizam a furtividade em ataques cibernéticos.

Fonte: https://thehackernews.com/2026/03/russian-ctrl-toolkit-delivered-via.html