So gut wie jeder Stealer, den ich bei 1337/FH usw gesehen habe, nutzt nur FTP. Ich frage mich, warum niemand HTTP nutzt - GET/POST Methode abzusetzen wäre imho deutlichst einfacher als FTP Verbindung aufzubauen (und ja, ich hab schon mal beides umgesetzt - oder zumindest HTTP komplett und FTP halbherzig ).
Webspaces mit PHP gibts doch eher wie Sand am Meer und ein Loggingscript sollte man eigentlich auch als Nicht-PHPler schreiben können.
Dagegen ist eine ausgehende HTTP Verbindung imho zumindest unauffälliger und auch einfacher zu verstecken. Man kann sogar frecherweise einfach den Standardbrowser mit einer URL+codierter GET Anfrage übergeben.
Zusätzlich: Wireshark&Co bringt nichts - ohne Passwort kommt niemand an die Logs, was bei FTP ja nicht der Fall ist.