«CTRL»: νέα εργαλειοθήκη για σιωπηρή υποκλοπή RDP

Μια νέα, στοχευμένη εργαλειοθήκη απομακρυσμένης πρόσβασης με την ονομασία CTRL έχει εντοπιστεί σε επιθέσεις που υποκλέπτουν και καταλαμβάνουν ενεργές συνεδρίες RDP χρησιμοποιώντας αντίστροφα tunnels βασισμένα σε FRP. Η απειλή συνδυάζει κλοπή διαπιστευτηρίων, keylogging και τεχνικές για σιωπηλό “hijacking” επιτραπέζιων συνεδριών και, σύμφωνα με τους αναλυτές, μέχρι στιγμής περνάει απαρατήρητη από τα κοινά δημόσια scanners και threat feeds.

Τι είναι το CTRL και πώς ξεχωρίζει

Η εργαλειοθήκη CTRL δεν είναι απλά ένα remote access trojan (RAT)· πρόκειται για μια ολοκληρωμένη πλατφόρμα post‑exploitation σχεδιασμένη για διαρκή, διακριτική πρόσβαση σε μολυσμένα συστήματα Windows. Το χαρακτηριστικό που την ξεχωρίζει είναι η χρήση FRP-based reverse tunnels για να “σηκώσει” συνεδρίες RDP πίσω από ένα relay server, επιτρέποντας στους χειριστές να δουλεύουν μέσα στην επιφάνεια εργασίας του θύματος χωρίς άμεσα C2 beacons που θα φώτιζαν το δίκτυο.

Επιπλέον, η αρχιτεκτονική της είναι σχεδιασμένη για χαμηλές ψηφιακές υπογραφές: τα βασικά της components αποθηκεύονται στο μητρώο (registry) σαν binary blobs, φορτώνονται σε μνήμη και επανεκκινούνται με προγραμματισμένα tasks — μια προσέγγιση που μειώνει τα ίχνη στο δίσκο και δυσκολεύει την παραδοσιακή ανάλυση.

Υποδομή και γεωγραφικός εντοπισμός

Οι ερευνητές της Censys εντόπισαν την υποδομή που χρησιμοποιεί το toolkit σε servers καταχωρημένους στο ASN AS215826 της Partner Hosting LTD, ένα δίκτυο εγγεγραμμένο στο Ηνωμένο Βασίλειο και με φυσική παρουσία σε Frankfurt, Γερμανία. Τα δύο IP που έγιναν γνωστά κατά την ανάλυση ήταν τα 194.33.61.36 και 109.107.168.18, με την πόρτα 7000 να τρέχει υπηρεσία που fingerprintάρεται ως FRPS.

Η επιλογή τέτοιας υποδομής — νεοσύστατο ASN και servers σε τρίτη χώρα — δείχνει προσπάθεια απόκρυψης της καταγωγής των χειριστών και ευκολία αλλαγής hosts. Ταυτόχρονα όμως, οι ίδιοι servers φαίνεται να επιδεικνύουν κακή διαχείριση ασφάλειας: ο host στο 194.33.61.36 είχε ανοιχτές υπηρεσίες SSH και HTTP και εκτελούσε OpenSSH 9.6p1, ευάλωτο σε γνωστά CVE (CVE‑2024‑6387, CVE‑2025‑26465, CVE‑2025‑26466). Αυτό μαρτυρεί χαμηλή patch hygiene από τους διαχειριστές της υποδομής, μια συνήθη αλλά επικίνδυνη αντίφαση σε πολλούς επιτιθέμενους παρόχους.

Αλυσίδα παράδοσης και εκτέλεσης

Η αρχική μόλυνση ξεκινά από ένα weaponized Windows shortcut (.LNK) που υποδύεται φάκελο με ιδιωτικά κλειδιά. Το LNK φέρει μηδενισμένα timestamps και την περιγραφή “Polycue”, πιθανόν ως κωδική ονομασία έργου, ώστε να αποφεύγει την προσοχή και την ανάλυση timeline. Το εντυπωσιακό είναι ότι το ίδιο το LNK ενσωματώνει έναν πολύστρωτο PowerShell loader ως μεγάλο base64 blob — όταν εκτελείται ανοίγει κρυφά το PowerShell, αποθηκεύει και αποσυμπιέζει στην μνήμη έναν .NET stager κι εγκαθιστά όλα τα επιμέρους modules χωρίς να γράψει ξεχωριστό PE αρχείο στο δίσκο.

Ο stager εκμεταλλεύεται μια μέθοδο παράκαμψης UAC βασισμένη στο fodhelper, ελέγχει τη δυνατότητα σύνδεσης στο hui228.ru:7000 και κατεβάζει τρία .NET components για κρυπτογραφημένο loading payloads, tunneling μέσω FRP και ενεργοποίηση/χειρισμό RDP. Η επιμονή στην αποθήκευση των payloads ως τιμές binary στο μητρώο (π.χ. κάτω από κλειδιά του Explorer) και το ανέβασμα με scheduled tasks που εκτελούν κωδικοποιημένο PowerShell, δίνει στα παρασιτικά στοιχεία ανθεκτικότητα απέναντι σε reboot και συμβατικές σαρώσεις.

Τι κάνει πραγματικά το σύστημα ελέγχου

Το κύριο εκτελέσιμο ctrl.exe ξεκινά έναν agent που ανοίγει ένα named pipe (ctrlPipe) τοπικά στον υπολογιστή-θύμα. Μέσω αυτού οι χειριστές μπορούν να διαβάζουν keylogs, να προβάλλουν ψευδείς Windows Hello–style παράθυρα phishing, να «shadowάρουν» ή να ανακαταλαμβάνουν ενεργές συνεδρίες RDP, και να πυροδοτούν ροές εξαγωγής δεδομένων. Παράλληλα, ένας FRP wrapper ξεκρυπτογραφεί μια Go-based FRP v0.65.0 DLL και τη χαρτογραφεί στη μνήμη για να δημιουργήσει τα αντίστροφα tunnels για RDP (3389) και raw TCP shell (5267) πίσω στον relay server.

Άλλο component τροποποιεί το termsrv.dll, εγκαθιστά RDP Wrapper, προσθέτει εξαιρέσεις στον Windows Defender και ρυθμίζει τα Windows ώστε να επιτρέπουν απεριόριστες διαδοχικές RDP συνεδρίες. Το αποτέλεσμα είναι η δυνατότητα στους επιτιθέμενους να «συγχρονίζονται» με την επιφάνεια εργασίας του χρήστη χωρίς εμφανή prompts ή ειδοποιήσεις, καθιστώντας την προσέγγιση ιδιαίτερα επικίνδυνη για επιχειρήσεις που βασίζονται σε απομακρυσμένη εργασία.

Σήματα, δείκτες και δυσκολίες ανίχνευσης

Σημαντικό κομμάτι της ανησυχίας είναι ότι κανένα από τα δυνητικά binary ή την υποδομή που σχετίζεται με το CTRL δεν εμφανίζεται σε δημόσια repositories όπως το VirusTotal, υποδεικνύοντας ιδιωτική ανάπτυξη και περιορισμένη χρήση. Επιπλέον, ο σχεδιασμός του toolkit — έλλειψη σκληροκωδικοποιημένων C2 διευθύνσεων, χρήση manual PE mapper για φόρτωση DLL στη μνήμη, και λειτουργία όλων των χειρισμών μέσα σε RDP μέσω FRP tunnels — μειώνει τις εμφανείς δικτυακές υπογραφές.

Παρά ταύτα, υπάρχουν χειροπιαστά indicators που οι defenders μπορούν να παρακολουθούν: outbound συνδέσεις προς τα IPs 194.33.61.36 και 109.107.168.18 στην πόρτα 7000, FRPS πρωτόκολλο, συγκεκριμένα scheduled tasks με ονόματα όπως DriverSvcTask, NetTcpSvc, TermSvcHost και WindowsHealthMonitor, binary data κάτω από κλειδιά του Explorer (π.χ. ShellStateVersion1), την ύπαρξη hidden τοπικών λογαριασμών με το password “ADAD”, το named pipe ctrlPipe και αρχεία keylog σε C:Tempkeylog.txt.

Προτεινόμενα μέτρα άμυνας

Η άμεση προτεραιότητα για οργανισμούς είναι να περιορίσουν την ικανότητα εξόδου προς ανεπιθύμητες υποδομές και να εφαρμόσουν ανιχνεύσεις σε πολλαπλά επίπεδα. Συνιστώνται ενέργειες όπως: μπλοκάρισμα ή alerting για outbound TCP προς τα αναφερόμενα IP/πορτ, ενσωμάτωση fingerprinting για FRPS πρωτόκολλα σε IDS/IPS, έλεγχος για προγραμματισμένα tasks με ύποπτα ονόματα, ανάλυση μητρώου για ασυνήθιστες binary τιμές, και παρακολούθηση για load from memory DLLs που χρησιμοποιούν manual mapping.

Επιπλέον, απαιτείται αυστηρή πολιτική patching: οι εκτεθειμένες εκδόσεις OpenSSH στον server που ανακαλύφθηκε έδειξαν πως και οι παροχείς υπηρεσιών μπορούν να αποτελέσουν σοβαρή αδυναμία. Η αποφυγή χρήσης κοινών λογαριασμών και passwords, ο περιορισμός του RDP με Network Level Authentication, χρήση MFA, και ο περιορισμός των λογαριασμών που μπορούν να τρέξουν UAC‑bypass τεχνικές, μειώνουν σημαντικά το ρίσκο επιτυχούς επιθέσεως.

Σύγκριση με άλλες απειλές και τεχνικές

Το CTRL θυμίζει προηγούμενα εργαλεία που εκμεταλλεύονταν RDP για hands-on-keyboard συνεδρίες, αλλά το συνδυασμένο πακέτο — stealthy LNK delivery, in‑memory .NET stagers, manual PE mapping και FRP reverse tunnels — το καθιστά πιο κοντά σε εξειδικευμένα, χαμηλού προφίλ frameworks που χρησιμοποιούνται σε στοχευμένες εκστρατείες. Η κύρια διαφορά σε σχέση με μαζικά botnets ή commodity RATs είναι ο προσανατολισμός σε «χειροκίνητο» έλεγχο μέσω shadowing και hijacking συνεδριών αντί για αυτοματοποιημένη εξόρυξη ή ransomware‑style κρυπτογράφηση.

Αυτό σημαίνει ότι οι επιθέσεις με CTRL ενδέχεται να στοχεύουν υψηλότερης αξίας στόχους — επιχειρήσεις με απομακρυσμένους εργαζόμενους, administrators με ευρεία πρόσβαση ή οργανώσεις με αδύναμες πολιτικές πρόσβασης εξ αποστάσεως.

Γιατί έχει σημασία

Η ανακάλυψη του CTRL υπογραμμίζει δύο βασικές τάσεις: πρώτον, την αύξηση στη χρήση αντίστροφων tunnels (όπως FRP) για να ξεπεραστούν δικτυακοί περιορισμοί και δεύτερον, την μετατόπιση σε τεχνικές που ελαχιστοποιούν ίχνη στο δίσκο και στη δικτυακή ροή. Αυτό κάνει την ανίχνευση πιο περίπλοκη και απαιτεί από τις ομάδες ασφάλειας να σκεφτούν πέρα από παραδοσιακά signature‑based εργαλεία.

Σε πρακτικό επίπεδο, σημαίνει ότι ακόμα και αν ένα endpoint δεν εμφανίζει κλασικά malware hashes σε public scanners, μπορεί να έχει ενεργή και διαρκή πρόσβαση που επιτρέπει τοιουτοτρόπως την κλοπή δεδομένων ή την προετοιμασία περισσοτέρων επιθέσεων. Η ανάγκη για συνδυασμένη ανίχνευση endpoint + network + registry telemetry γίνεται επιτακτική.

Τι σημαίνει για τους χρήστες και τις επιχειρήσεις

Για τον μέσο χρήστη το μήνυμα είναι απλό: μην ανοίγετε ύποπτα shortcuts και μην εμπιστεύεστε φακέλους “Private Key” που λαμβάνετε χωρίς επαλήθευση. Για επιχειρήσεις, η προτεραιότητα πρέπει να είναι ο περιορισμός της εξόδου προς ύποπτες IP και η ενίσχυση των πολιτικών πρόσβασης σε RDP, συμπεριλαμβανομένης της χρήσης VPN, MFA και τμηματοποίησης δικτύου.

Τεχνικές ομάδες πρέπει να προσθέσουν έλεγχο για anomalous scheduled tasks, μητρώο που περιέχει binary blobs, και να ενεργοποιήσουν logging για named pipes και δημιουργία/τροποποίηση του termsrv.dll. Τέτοιες μέθοδοι ανίχνευσης μπορούν να πιάσουν συμπεριφορές που δεν έχουν ακόμα υπογραφεί από παραδοσιακά AV προϊόντα.

Επιπτώσεις στην Ευρώπη και στο ελληνικό οικοσύστημα

Η χρήση ευρωπαϊκής υποδομής (servers στη Γερμανία) δείχνει πως οι χειριστές επιλέγουν γεωγραφικά “κεντρικά” σημεία για χαμηλότερο latency και ευκολότερη πρόσβαση σε επιχειρήσεις της ΕΕ. Για ελληνικές εταιρείες αυτό σημαίνει ότι δεν είναι μακριά από το πρόβλημα: κάθε οργανισμός με απομακρυσμένη πρόσβαση ή ελαφρά πολιτική patching μπορεί να γίνει στόχος. Οι ομάδες πληροφορικής στην Ελλάδα θα πρέπει να ελέγξουν ειδικά firewall rules, IDS signatures για FRP και να διασφαλίσουν ότι οι διακομιστές φιλοξενίας και τα VPN διορθώνονται και εποπτεύονται.

Τέλος, η περίπτωση αυτή τονίζει την αναγκαιότητα συνεργασίας μεταξύ ομάδων ασφάλειας, παρόχων φιλοξενίας και κρατικών φορέων για να εντοπιστεί ταχύτερα η υποδομή των επιτιθέμενων και να ελαχιστοποιηθούν οι επιπτώσεις σε ευρωπαϊκές επιχειρήσεις.