MalwareHackerangriffeSchwachstellen

CTRL-Toolkit: Russische Malware kaperte RDP-Sitzungen über versteckte LNK-Dateien

CTRL-Toolkit: Russische Malware kaperte RDP-Sitzungen über versteckte LNK-Dateien
Zusammenfassung

Ein neuer Trojaner namens CTRL sorgt in der Cybersecurity-Community für Besorgnis: Das Toolkit russischen Ursprungs wird über manipulierte Windows-Verknüpfungsdateien (LNK-Dateien) verbreitet, die als Ordner für private Schlüssel getarnt sind. Sicherheitsforscher von Censys haben entdeckt, dass dieser .NET-basierte Trojaner umfangreiche Funktionen bietet – von Credential-Phishing über Keylogging bis zur Übernahme von Remote-Desktop-Sitzungen (RDP) mittels FRP-Tunneln. Die Infektionskette startet mit einer täuschend echten LNK-Datei, die bei Klick eine mehrstufige Schadsoftware-Installation auslöst. Besonders raffiniert ist die Persistenzmechanik: Das Toolkit nutzt FRP-Tunnel, um RDP-Sitzungen zu entführen und versteckt seine Command-and-Control-Kommunikation lokal auf der befallenen Maschine. Für deutsche Nutzer und Unternehmen könnte dies erhebliche Risiken darstellen, insbesondere wenn Mitarbeiter arglos auf verdächtige E-Mail-Anhänge klicken. Die Tatsache, dass das Toolkit minimale Netzwerk-Spuren hinterlässt und moderne Erkennungsmaßnahmen umgeht, macht es zu einer ernsthaften Bedrohung für deutsche Institutionen und Behörden, die vermehrt ins Visier solcher zielgerichteten Angriffe geraten.

Das CTRL-Toolkit markiert einen besorgniserregenden Trend in der Cyberkriminalistik: speziell entwickelte, modulare Malware-Suiten, die von einzelnen Operatoren mit hohem technischen Verständnis eingesetzt werden. Im Gegensatz zu automatisierten, weit verbreiteten Schadsoftwaren konzentriert sich CTRL auf Qualität und Verstecktheit statt auf Quantität.

Die Infektionskette beginnt vergleichsweise simpel: Nutzer erhalten eine LNK-Datei mit verdächtigem Namen wie “Private Key #kfxm7p9q_yek.lnk” und Ordner-Icon. Wer darauf doppelklickt, setzt einen mehrstufigen Prozess in Gang. Die erste Stufe startet einen versteckten PowerShell-Befehl, der zunächst alle bestehenden Persistenzmechanismen aus dem Windows-Startup-Ordner löscht — eine typische Taktik, um konkurrierende Malware oder Sicherheitstools zu entfernen.

Anschließend lädt der Stager von der Adresse hui228[.]ru:7000 weitere Schadcode-Komponenten herunter und richtet umfassende Persistenzmechanismen ein: Firewall-Regeln werden manipuliert, Scheduled Tasks angelegt und lokale Backdoor-Benutzer erstellt. Der cmd.exe-Shell-Server wird auf Port 5267 gestartet und ist über FRP-Tunnel erreichbar.

Die Kernkomponente ist die Datei “ctrl.exe”, ein .NET-Loader, der die CTRL Management Platform ausführt. Diese wurde bewusst dual-mode designt: Je nach Startparameter funktioniert sie als Server (auf dem Opfer-System) oder Client (beim Angreifer). Die gesamte Kommunikation erfolgt lokal über Windows Named Pipes, was bedeutet, dass Befehle nicht ins Netzwerk gelangen — nur die RDP-Sitzung selbst ist sichtbar.

Besonders raffiniert ist die Credential-Harvesting-Komponente. Sie stellt sich als echtes Windows-PIN-Authentifizierungsfenster dar und blockiert aktiv Fluchtversuche durch Alt+Tab, Alt+F4 oder F4. Eingegebene PINs werden gegen das echte Windows-System validiert, bevor sie geloggt werden. Auch Toast-Benachrichtigungen, die sich als bekannte Browser (Chrome, Edge, Brave) ausgeben, locken Nutzer in Phishing-Fallen.

Das Toolkit zeigt hohe operative Sicherheit: Keine der drei gehosteten Binärdateien enthält hartcodierte C2-Adressen, alle exfiltrierten Daten laufen durch den RDP-Tunnel. Dies hinterlässt minimal nachverfolgbare Netzwerk-Spuren im Gegensatz zu klassischen Remote-Access-Trojanern.

Für deutsche Organisationen ist CTRL eine echte Bedrohung, weil das Toolkit gezielt gegen Systeme mit hohem Wert gerichtet ist und professionelle OpSec-Praktiken nutzt.

Ähnliche Artikel