Censys研究员上个月在IP 146.19.213[.]155的开放目录里挖出这个CTRL工具包。俄罗斯货色,用.NET拼出来的套件。伪装成“Private Key #kfxm7p9q_yek.lnk”,图标是文件夹。双击就中招。
LNK文件藏着PowerShell命令。点开它,先清掉受害机Windows启动文件夹里的旧持久化痕迹。接着解码Base64 blob,在内存跑起来。Stager试TCP连hui228[.]ru:7000。连上就下第二阶段payload。
改防火墙规则。设定时任务持久化。建后门本地用户。开cmd.exe shell在5267端口。全通过FRP隧道访问。下载的ctrl.exe是.NET加载器。嵌入CTRL管理平台。命令行参数决定它当server还是client。通信走Windows命名管道。
运营商先在受害机跑ctrl.exe server。然后通过FRP隧道RDP连上,再跑client互动。C2命令全本地。网络上只见RDP会话。痕迹少。
命令集齐全。系统信息收集。凭证窃取模块。键盘记录后台服务。钩子装键盘上。全键盘敲击存C:\Temp\keylog.txt。结果外传。
凭证模块冒充Windows PIN验证。WPF应用。挡Alt+Tab、Alt+F4、F4逃脱。用UI自动化SendKeys()验证真PIN。错就报错循环。正就记[STEALUSER PIN CAPTURED]到keylog.txt。窗口不关。
还能发toast通知。假Chrome、Edge、Brave、Opera、Opera GX、Vivaldi、Yandex、Iron。继续偷凭证或推payload。
另外两个payload。FRPWrapper.exe。Go写的DLL。内存载入。建反向隧道。RDP和TCP shell通运营商FRP服务器。RDPWrapper.exe。无限并发RDP会话。
工具包操作安全牛。三个二进制没硬码C2地址。数据全走FRP-RDP隧道。运营商桌面上看keylog。读ctrl管道。网络取证难。
加密市场正热。BTC现报$67,375(24h +1.35%)。ETH $2,052(24h +2.88%)。XRP、SOL轮番拉盘。散户忙着撸私钥转币。谁知这种LNK就躺下载文件夹等你。
攻击链多阶段。LNK dropper解压层层payload。Stager联网下ctrl.exe、FRPWrapper.exe、RDPWrapper.exe。RDP劫持后,运营商坐享其成。键盘记PIN。偷加密钱包密码。转走资产。
Censys点出趋势。单兵工具包重运安。不求功能广。避传统RAT的beacon模式。FRP隧道RDP,全程隐蔽。
加密玩家下载“私钥”文件夹时多长眼。私钥文件不该是LNK。双击前查扩展。杀软更新。别信来路不明附件。黑客盯上你钱包,就这套路。
工具包恢复自2026年2月目录。分发链靠LNK武器化。用户上当双击。PowerShell擦痕迹。下payload建后门。
Ctrl平台双模。Server记键。Client发令。管道本地聊。网络干净。
PIN钓鱼精致。验证真假。循环骗。记log。
Toast仿浏览器。续命偷。
FRP反隧。RDP无限。Shell随时。
俄罗斯CTRL,专为远程控。加密时代,私钥成靶子。小心。