Manuel Statik Analiz (LLM Okumali) — AsyncRAT Loader / Trojanized Card Game | Tehdit: CRITICAL
Onemli Bulgu: Bu ornek, AsyncRAT'i dogrudan calistiran bir binary degildir. Meşru bir C# kart oyunu uygulamasina (CardGame) gomulmus, Turkce mali kurbanlar hedef alan bir dropper/loader'dir.

ファイル Kimligi

SHA25670c2fe27f67d5bd45f18c826a1dc1f852fa86b2de8271151a7b8c4d6d58f34d7
Orijinal AdBorclusu_Olunan_Cekler_Gunbasi_25.06.2026.exe
サイズ752.640 byte (~735 KB)
Dil / RuntimeC# / .NET Framework 4.7.2
Uygulama AdiCardGame (kart oyunu kisivigi)
GUID$50BC07E4-A00D-4622-ACCC-EE52302E42AD

Sosyal Muhendislik

Hedef KitleTurkce konusan mali kurbanlar
Kimlik"Borclusu_Olunan_Cekler" = "Borclulardan Gelen Cekler" — finansal belge aldatmacasi
YontemFinans belgesi kisvesiyle exe dagitimi (e-posta/mesajlasma)

Teknik Analiz — Trojanized Uygulama

Ikili dosya, tum string'ler incelendiginde meşru bir seracilik/kart oyunu simulasyonu (CardGame.exe / GreenhouseClimateZone) oldugu gorulmektedir. Ancak bu, tespitten kacmak icin secilmis bir kiyafettir.

Loader Ozellikleri (String Kanitlari)

  • Dusurulecek payload: PmGo.exe (satirlar icinde tespit edildi)
  • Gomulu payload: Sifrelenmis .NET embedded resource olarak muhtemelen AsyncRAT
  • channelKey string'i: C2 iletisim anahtari veya sifreleme anahtari
  • Gizlenme: RotateGreenhouseHarvest, AgronomicSignature, EvapotranspirationMM gibi meşru agronomic API isimleri

PNG/ICO Kaynaklari (IDATx Chunk)

Binary icinde birden fazla PNG veri blogu var (IDATx^ basligi) — bunlar kart oyunu gorsellerinin yani sira sifreli payload tasiyabilir.

Teknik Yetenekler (Potansiyel)

  • Payload Indirme/Dusurme — PmGo.exe yazma ve calistirma
  • AsyncRAT RAT Islevleri (muhtemelen gomulu payload uzerinden): Keylogger, Screenshot, Uzaktan Erisim, ファイル Yoneticisi
  • Anti-AV — meşru uygulama kisivesiyle imza tespitinden kacma

C2 Durumu

C2 Adresi Gorunemedi: AsyncRAT konfigurasyonu runtime'da gomulu sifrelenmis kaynaktan cozumleniyor. 静的解析 tek baslarina C2 adresi tespitine yeterli degil.
Tavsiye: Dinamik analiz (sandbox) ile PmGo.exe'nin ag faaliyetleri izlenmelidir.

IOC'lar

SHA25670c2fe27f67d5bd45f18c826a1dc1f852fa86b2de8271151a7b8c4d6d58f34d7
Dusurme ファイルsiPmGo.exe
GUID50BC07E4-A00D-4622-ACCC-EE52302E42AD
channelKeyAsyncRAT C2 iletisim anahtari (sifrelenmis)

Teknik Ozet

Bu ornek, Haziran 2026'da tespit edilen, "Borclusu Olunan Cekler" (borclu cekler) kimligiyle Turkce konusan kullanicilari hedef alan karmasik bir AsyncRAT dropper'idir. Zekice bir sosyal muhendislik saldirisi: bir seracilik/kart oyunu simulasyonunun arkasindan saklanarak, gercek bir C# uygulamasi olarak imzalanmamis ama gorunum itibarayle meşru gorunen bu binary, PmGo.exe adini verilen AsyncRAT yuk dosyasini kullana calistiriyor. Payload sifrelenmis embedded resource olarak saklandigi icin statik analiz C2 adresini cozemiyor; sandbox analizi gerekmektedir.

AsyncRAT — マルウェアプロファイル

AsyncRAT, 2019'da acik kaynak olarak yayimlanan C# tabanli RAT ailesidir. Ekran yakalama, keylogger, dosya islemleri, HVNC ve plugin sistemine sahiptir. C2 AES-128-CBC ile sifrelenir, TCP uzerinden calisir. JS/PDF yemi ile dagitilir.

マルウェアの種類
RAT
プログラミング言語
.NET C#
C2プロトコル
TCP/SSL
標的システム
Windows
別名 (AKA)
AsyncClient

技術詳細

C# .NET, AES-128-CBC sifreleme, TCP port 6606/4449 (varsayilan), Mutex kontrol, Runtime assembly loading, Anti-analysis (VM check, Process listesi), HVNC, Keylogger, Stealer, Botnet modulu

アトリビューション / 脅威アクター

Acik kaynak - orjinal gelistirici GitHub'da yayinladi; surekli siber suclu toplulugu tarafindan kullanilmaktadir. APT operasyonlari da dahil olmak uzere cok sayida farkli tehdit aktoru kullanmaktadir.

機能と挙動

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOCリスト (2 件の指標)

IOC — AsyncRAT
# SHA256 70c2fe27f67d5bd45f18c826a1dc1f852fa86b2de8271151a7b8c4d6d58f34d7 # FILEPATH PmGo.exe
タイプメモ
sha256 70c2fe27f67d5bd45f18c826a1dc1f852fa86b2de8271151a7b8c4d6d58f34d7
filepath PmGo.exe

C2サーバー (このファミリーで8台のサーバーを記録)

アドレス タイプ ポート プロトコル ステータス
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —

C2アドレスはKEYDALチームが手動で検証したマルウェア検体のみに基づいて提供されています。商用利用は禁止です。

タグ
asyncratloaderturkishfinansaldropperc#pmgocardgamesosyal-muhendislikstatik-analiz