CTRL, un toolkit RAT russe développé en .NET, combine phishing Windows Hello, keylogging et tunneling RDP via FRP pour cibler les entreprises.
En bref
- Des chercheurs ont découvert CTRL, un toolkit d'accès distant d'origine russe distribué via des fichiers LNK piégés
- L'outil combine phishing de credentials, keylogging, détournement RDP et tunneling via Fast Reverse Proxy
- CTRL illustre la tendance aux toolkits mono-opérateur conçus pour échapper aux détections classiques
Ce qui s'est passé
Les chercheurs de Censys ont identifié un nouveau toolkit d'accès distant baptisé CTRL, développé en .NET et d'origine russe. L'outil a été découvert sur un répertoire ouvert hébergé à l'adresse 146.19.213.155 en février 2026. Il se distingue des RAT traditionnels par son architecture modulaire et son approche orientée discrétion opérationnelle.
La chaîne d'infection repose sur un fichier raccourci Windows (LNK) déguisé en dossier de clé privée, nommé « Private Key #kfxm7p9q_yek.lnk ». Lorsque la victime double-clique sur ce fichier en pensant ouvrir un dossier, le malware s'exécute silencieusement. CTRL embarque plusieurs modules : chargement de payloads chiffrés, collecte de credentials via une interface imitant Windows Hello, enregistrement des frappes clavier, détournement de sessions RDP et tunneling inversé via FRP.
L'opérateur interagit avec les machines compromises exclusivement via des tunnels FRP inversés vers des sessions RDP, évitant ainsi les schémas de communication réseau (beacons) caractéristiques des RAT classiques que les solutions de détection réseau repèrent facilement.
Pourquoi c'est important
CTRL représente une évolution préoccupante dans l'écosystème des outils offensifs. Contrairement aux RAT commerciaux ou open source largement documentés et signaturés par les antivirus, ces toolkits sur-mesure mono-opérateur sont conçus pour passer sous les radars. L'utilisation de FRP pour le tunneling et de RDP comme canal de commande rend la détection plus complexe car le trafic se fond dans les flux légitimes.
L'interface de phishing imitant Windows Hello est particulièrement redoutable. Les utilisateurs habitués à l'authentification biométrique de Windows sont conditionnés à faire confiance à cette interface, ce qui augmente considérablement le taux de succès de la collecte de credentials. Pour les équipes de défense, cela implique de surveiller les connexions RDP inhabituelles et les tunnels FRP sortants.
Ce qu'il faut retenir
- Bloquer l'exécution de fichiers LNK reçus par email ou téléchargés depuis des sources non fiables
- Surveiller les connexions sortantes vers des proxys FRP et les sessions RDP non sollicitées
- Former les utilisateurs à reconnaître les fausses interfaces d'authentification, même celles imitant Windows Hello
Comment détecter la présence de CTRL sur un poste compromis ?
Recherchez des processus .NET inconnus établissant des connexions sortantes vers des serveurs FRP, des fichiers LNK suspects dans les dossiers de téléchargement, et des services de keylogging tournant en arrière-plan. Les IoC publiés par Censys incluent l'adresse IP 146.19.213.155 et le nom de fichier « Private Key #kfxm7p9q_yek.lnk ». Une analyse des logs RDP pour des sessions initiées depuis des sources inhabituelles est également recommandée.
Besoin d'un accompagnement expert ?
Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.
Prendre contactTélécharger cet article en PDF
Format A4 optimisé pour l'impression et la lecture hors ligne
À propos de l'auteur
Ayi NEDJIMI
Expert Cybersécurité Offensive & Intelligence Artificielle
Ayi NEDJIMI est consultant senior en cybersécurité offensive et intelligence artificielle, avec plus de 20 ans d'expérience sur des missions à haute criticité. Il dirige Ayi NEDJIMI Consultants, cabinet spécialisé dans le pentest d'infrastructures complexes, l'audit de sécurité et le développement de solutions IA sur mesure.
Ses interventions couvrent l'audit Active Directory et la compromission de domaines, le pentest cloud (AWS, Azure, GCP), la rétro-ingénierie de malwares, le forensics numérique et l'intégration d'IA générative (RAG, agents LLM, fine-tuning). Il accompagne des organisations de toutes tailles — des PME aux grands groupes du CAC 40 — dans leur stratégie de sécurisation.
Contributeur actif à la communauté cybersécurité, il publie régulièrement des analyses techniques, des guides méthodologiques et des outils open source. Ses travaux font référence dans les domaines du pentest AD, de la conformité (NIS2, DORA, RGPD) et de la sécurité des systèmes industriels (OT/ICS).
Ressources & Outils de l'auteur
Articles connexes
Aflac notifie 22 millions de clients après une cyberattaque
Aflac notifie 22,65 millions de personnes après une intrusion attribuée à Scattered Spider. Données de santé et numéros de sécurité sociale compromis.
ShinyHunters vole 350 Go de données à la Commission européenne
ShinyHunters revendique le vol de 350 Go de données depuis l'infrastructure AWS de la Commission européenne. Deuxième brèche en 2026 pour l'institution.
LexisNexis piraté : 400 000 profils cloud exposés via React2Shell
LexisNexis confirme une brèche via React2Shell : 400 000 profils cloud exposés, dont 118 comptes gouvernementaux américains. FulcrumSec publie 2 Go de données.
Commentaires (1)
Laisser un commentaire