Censys Attack Research Center(ARC)は、「CTRL」と呼ばれる以前に文書化されていなかった、ロシア発祥のリモートアクセスツールキットを発見しました。これは、認証情報フィッシング、キーロギング、Remote Desktop Protocol(RDP)ハイジャック、およびFast Reverse Proxy(FRP)ベースのトンネリングを単一の統一されたパッケージに統合した高度な事後搾取フレームワークです。
1つの武装化されたLNKファイルを通じて完全に配布されるCTRLは、VirusTotalおよびHybrid Analysisを含むすべての公開脅威インテリジェンスプラットフォームをこれまでのところ回避した、非公開で開発された単一オペレーター向けツールの新しいクラスを表しています。
C2リレーインフラストラクチャは、194.33.61[.]36(2026年1月~2月アクティブ)と109.107.168[.]18(2026年2月27日にDNS切り替え)の2つのIPで観察されました。
どちらもPartner Hosting LTDのフランクフルトインフラストラクチャ内でホストされており、ASN215826は2025年2月と同じくらい最近にプロビジョニングされたイギリス登録自律システムです。
CTRLの配信メカニズムは、Private Key #kfxm7p9q_yek.lnkという名前のソーシャルエンジニアリングされたLNKファイルで、Windowsフォルダアイコン(SHELL32.dllアイコンインデックス3)に偽装して、被害者をダブルクリックするよう欺きます。
ファイルはコマンドライン引数内に30,000文字のbase64エンコードされたPowerShellペイロードを埋め込み、完全に自己完結させます。初期実行には外部ダウンロードは不要です。
実行時に、攻撃は6つのステージを進みます。
PowerShellローダーは既存のスタートアップ永続性をワイプし、解凍して、.NETステージャーアセンブリを正当なExplorerの設定に偽装されたWindowsレジストリキー(ShellStateVersion1)に直接書き込み、リフレクションを介してメモリ内に完全にロードし、スタンドアロンファイルとしてディスクに触れません。
CTRLは意図的な運用セキュリティを実証しています。ホストされている3つのバイナリのいずれにもハードコードされたC2アドレスは含まれていません。FRPサーバーアドレスと認証トークンはC:\ProgramData\frp\frpc.tomlにのみ存在し、メモリ内ステージャーによって実行時に書き込まれます。
すべてのPEタイムスタンプは2044年から2103年の日付に改ざんされ、フォレンジックタイムライン分析を妨害しています。
CTRLツールキットは、署名ベースの検出を完全に回避する非公開で流通する目的別構築ツールへの増加傾向を強調しています。
翻訳元: https://cyberpress.org/new-ctrl-rat-linked-to-russian-hackers-enables-rdp-hijacking-attacks/