Die Infektionskette beginnt mit einer präparierten LNK-Datei namens “Private Key #kfxm7p9q_yek.lnk”, die mit einem Ordnersymbol versehen ist. Ein Doppelklick löst einen mehrstufigen Prozess aus, bei dem jede Stufe die nächste entschlüsselt oder dekomprimiert, bis schließlich das Toolkit ausgerollt wird.
Der Dropper startet zunächst einen verborgenen PowerShell-Befehl, der vorhandene Persistenzmechanismen aus dem Windows-Autostartordner des Opfers entfernt. Anschließend dekodiert er einen Base64-codierten Datenblock und führt ihn im Arbeitsspeicher aus. Dieser Stager prüft die TCP-Verbindung zu hui228.ru auf Port 7000 und lädt von dort die nächsten Schadcode-Stufen nach.
Darüber hinaus verändert der Stager Firewall-Regeln, richtet über geplante Aufgaben Persistenz ein, legt lokale Backdoor-Benutzerkonten an und startet auf Port 5267 einen cmd.exe-Shell-Server, der über den FRP-Tunnel erreichbar ist.
Eine der nachgeladenen Komponenten, “ctrl.exe”, dient als .NET-Loader für eine eingebettete Nutzlast, die CTRL Management Platform. Diese kann je nach Kommandozeilenargument als Server oder als Client arbeiten; die Kommunikation läuft über eine Windows Named Pipe. Laut Censys setzt der Angreifer ctrl.exe einmalig über den Stager beim Opfer ab und interagiert anschließend durch Aufruf von “ctrl.exe client” über die per FRP getunnelte RDP-Sitzung. Die Named-Pipe-Architektur halte sämtlichen Befehlsverkehr lokal auf dem Opfersystem – nur die RDP-Sitzung selbst verlasse das Netzwerk.
Über die unterstützten Befehle sammelt die Schadsoftware Systeminformationen, startet ein Modul zum Abgriff von Anmeldedaten und betreibt einen Keylogger als Hintergrunddienst. Dieser zeichnet per Tastatur-Hook alle Eingaben in die Datei “C:\Temp\keylog.txt” auf und schleust sie aus.
Die Komponente zum Diebstahl von Zugangsdaten wird als Windows-Presentation-Foundation-Anwendung (WPF) gestartet und ahmt eine echte Windows-PIN-Abfrage nach, um den System-PIN zu erbeuten. Das Modul blockiert Versuche, das Phishing-Fenster über Tastenkombinationen wie Alt+Tab, Alt+F4 oder F4 zu verlassen, und gleicht den eingegebenen PIN mittels UI-Automation über die Methode SendKeys() gegen die echte Windows-Anmeldung ab.
“Wird der PIN abgelehnt, landet das Opfer mit einer Fehlermeldung wieder am Ausgangspunkt”, erläutert Northern. Das Fenster bleibe selbst dann geöffnet, wenn der PIN erfolgreich gegen die tatsächliche Windows-Authentifizierung validiert wurde. Der erbeutete PIN werde mit dem Präfix “[STEALUSER PIN CAPTURED]” in dieselbe Protokolldatei geschrieben, die auch der Keylogger nutzt.
Ein weiterer Befehl erlaubt es, Toast-Benachrichtigungen zu versenden, die Webbrowser wie Google Chrome, Microsoft Edge, Brave, Opera, Opera GX, Vivaldi, Yandex und Iron nachahmen, um zusätzliche Zugangsdaten zu stehlen oder weitere Schadprogramme auszuliefern.
Nach Einschätzung von Censys zeigt das Toolkit eine bewusste operative Tarnung: Keine der drei gehosteten Binärdateien enthält fest codierte C2-Adressen, und sämtliche Datenexfiltration läuft über den FRP-Tunnel via RDP. Diese Bauweise hinterlasse im Vergleich zu klassischen C2-Beacon-Mustern minimale forensische Netzwerkspuren. Das Unternehmen sieht darin einen Trend zu zweckgebauten Werkzeugkästen für einzelne Betreiber, die operative Tarnung über Funktionsvielfalt stellen.
