Toolkit CTRL Rusia Menyerang RDP via Tunneling FRP Lewat File LNK Berbahaya

Para peneliti keamanan siber baru-baru ini mengungkap sebuah toolkit akses jarak jauh (RAT) yang berasal dari Rusia, bernama CTRL, yang didistribusikan melalui file shortcut Windows (LNK) berbahaya yang disamarkan menjadi folder kunci privat. Toolkit ini memanfaatkan teknik canggih untuk membajak sesi Remote Desktop Protocol (RDP) melalui Fast Reverse Proxy (FRP) guna menghindari deteksi keamanan.

Distribusi Toolkit CTRL lewat File LNK Berbahaya

Berdasarkan laporan dari platform manajemen permukaan serangan Censys, toolkit CTRL ditemukan pada direktori terbuka di IP 146.19.213[.]155 pada Februari 2026. Penyebarannya mengandalkan file LNK berjudul "Private Key #kfxm7p9q_yek.lnk" yang menggunakan ikon folder, sehingga pengguna terdorong untuk mengkliknya tanpa curiga.

Klik pada file tersebut memicu proses multi-tahap, di mana setiap tahap mendekripsi atau mendekompress tahap berikutnya hingga toolkit berhasil dijalankan. File LNK ini menjalankan perintah PowerShell tersembunyi yang menghapus mekanisme persistensi lama di folder Startup Windows korban.

Selain itu, proses ini mendekode data yang dienkode Base64 dan mengeksekusinya langsung di memori. Stager akan menguji konektivitas TCP ke hui228[.]ru:7000 untuk mengunduh payload tahap berikutnya, serta mengubah aturan firewall, membuat tugas terjadwal untuk persistensi, menambah pengguna lokal backdoor, dan membuka server cmd.exe di port 5267 yang dapat diakses melalui terowongan FRP.

Fitur Lengkap Toolkit CTRL

Payload utama, "ctrl.exe," adalah loader berbasis .NET yang menjalankan platform manajemen CTRL yang dapat berperan sebagai server atau klien sesuai argumen baris perintah. Komunikasi antar modul menggunakan named pipe Windows, sehingga seluruh trafik perintah-ke-kontrol (C2) tetap lokal di mesin korban.

"Desain dua mode ini memungkinkan operator hanya perlu menjalankan ctrl.exe sekali di korban melalui stager, lalu berinteraksi melalui sesi RDP yang ditunnelkan FRP," jelas peneliti keamanan Censys, Andrew Northern.

Toolkit ini mendukung perintah untuk mengumpulkan informasi sistem, menjalankan modul pencurian kredensial, serta mengaktifkan keylogger yang berjalan di latar belakang (jika diatur sebagai server). Keylogger ini merekam semua ketukan tombol ke file C:\Temp\keylog.txt dengan menginstal keyboard hook.

Komponen pencurian kredensial dijalankan sebagai aplikasi Windows Presentation Foundation (WPF) yang meniru jendela verifikasi PIN Windows Hello asli, sehingga korban memberikan PIN sistem secara tidak sadar. Modul ini juga menonaktifkan pintasan keyboard seperti Alt+Tab dan Alt+F4 agar korban tidak bisa keluar dari jendela phishing.

PIN yang dimasukkan akan divalidasi terhadap sistem otentikasi Windows menggunakan automasi UI. Jika PIN salah, pengguna akan diulang kembali dengan pesan kesalahan; jika benar, jendela phishing tetap terbuka sembari mencatat PIN dengan awalan [STEALUSER PIN CAPTURED] ke dalam file keylog yang sama.

Modul Tambahan dan Keamanan Operasional

Toolkit ini juga mampu mengirimkan notifikasi palsu yang meniru browser populer seperti Google Chrome, Microsoft Edge, Brave, Opera, Opera GX, Vivaldi, Yandex, dan Iron untuk mencuri kredensial tambahan atau mengirim payload lain.

Dua payload lain yang didrop dalam serangan ini adalah:

• FRPWrapper.exe, sebuah DLL Go yang dimuat di memori untuk membuat terowongan balik (reverse tunnels) bagi RDP dan shell TCP mentah melalui server FRP operator.
• RDPWrapper.exe, yang memungkinkan sesi RDP bersamaan tanpa batas.

Censys mencatat bahwa semua binary ini tidak mengandung alamat C2 yang dikodekan secara statis, sehingga mengurangi jejak forensik jaringan. Seluruh data dicuri melalui terowongan FRP pada sesi RDP, sehingga hanya sesi RDP yang terlihat di jaringan, bukan pola beacon C2 tradisional.

Analisis Redaksi

Menurut pandangan redaksi, kemunculan toolkit CTRL ini menandai evolusi signifikan dalam metode serangan siber yang semakin mengutamakan operational security (OPSEC). Dengan mengalihkan komunikasi C2 melalui sesi RDP yang ditunnelkan FRP, operator malware berhasil menyembunyikan jejak aktivitas mereka dari deteksi jaringan tradisional yang biasanya mengandalkan pengawasan pola beacon.

Selain itu, penggunaan file LNK yang memanfaatkan kepercayaan pengguna terhadap folder kunci privat memperlihatkan bahwa serangan ini tidak hanya bergantung pada eksploitasi teknis, tetapi juga teknik rekayasa sosial yang cerdas. Pengguna awam yang tergoda membuka file tersebut bisa tanpa sadar membuka pintu masuk bagi peretas.

Di masa depan, penting bagi organisasi dan individu untuk meningkatkan kewaspadaan terhadap file shortcut mencurigakan dan memperkuat keamanan RDP dengan autentikasi multifaktor serta pemantauan anomali sesi. Penggunaan teknologi deteksi perilaku dan analisis endpoint mutakhir juga menjadi kunci untuk menangkis serangan malware canggih seperti CTRL ini.

Untuk informasi lebih lengkap dan update terbaru tentang keamanan siber, Anda dapat membaca laporan asli dari The Hacker News dan mengikuti berita dari sumber terpercaya lainnya.