CTRL : découverte d'un framework d'accès distant .NET russe inédit combinant phishing, keylogging et tunneling FRP

🔍 Contexte Publié le 30 mars 2026 par Censys ARC (Andrew Northern), cet article présente l’analyse technique complète d’un toolkit d’accès distant inédit, baptisé CTRL, découvert via le scan d’open directories de Censys en février 2026. Aucun artefact n’était présent sur VirusTotal, Hybrid Analysis ou dans les flux de threat intelligence publics au moment de la publication. 🎯 Description du toolkit CTRL CTRL est un toolkit post-exploitation développé en .NET par un opérateur russophone, distribué via un fichier LNK weaponisé (Private Key #kfxm7p9q_yek.lnk) se faisant passer pour un dossier Windows. Il combine :