🔎 Cyberveille

Des chercheurs en cybersécurité ont découvert un kit d’outils d’accès à distance d’origine russe qui est distribué via des fichiers de raccourci Windows malveillants (LNK) déguisés en dossiers de clés privées.

Selon Censys, la boîte à outils CTRL est conçue sur mesure à l’aide de .NET et comprend divers exécutables pour faciliter l’hameçonnage d’identifiants, l’enregistrement de frappe, le détournement du protocole de bureau à distance (RDP) et le tunnelage inverse via Fast Reverse Proxy (FRP).

« Les exécutables permettent le chargement de charges utiles chiffrées, la collecte d’identifiants via une interface utilisateur de phishing Windows Hello soignée, l’enregistrement des frappes au clavier, le détournement de sessions RDP et le tunnelage par proxy inverse via FRP », a déclaré Andrew Northern, chercheur en sécurité chez Censys .

La plateforme de gestion de la surface d’attaque a déclaré avoir récupéré CTRL à partir d’un répertoire ouvert à 146.19.213[.]155 en février 2026. Les chaînes d’attaque distribuant la boîte à outils s’appuient sur un fichier LNK armé (« Clé privée #kfxm7p9q_yek.lnk ») avec une icône de dossier pour inciter les utilisateurs à double-cliquer dessus.

Cela déclenche un processus en plusieurs étapes, chaque étape déchiffrant ou décompressant la suivante, jusqu’à l’exécution du kit d’outils. Le programme d’installation de fichiers LNK est conçu pour lancer une commande PowerShell cachée, qui efface ensuite les mécanismes de persistance existants du dossier de démarrage Windows de la victime.