Manuel Statik Analiz (LLM Okumali) — AsyncRAT Loader / Trojanized Card Game | Tehdit: CRITICAL
Onemli Bulgu: Bu ornek, AsyncRAT'i dogrudan calistiran bir binary degildir. Meşru bir C# kart oyunu uygulamasina (CardGame) gomulmus, Turkce mali kurbanlar hedef alan bir dropper/loader'dir.

파일 Kimligi

SHA25670c2fe27f67d5bd45f18c826a1dc1f852fa86b2de8271151a7b8c4d6d58f34d7
Orijinal AdBorclusu_Olunan_Cekler_Gunbasi_25.06.2026.exe
크기752.640 byte (~735 KB)
Dil / RuntimeC# / .NET Framework 4.7.2
Uygulama AdiCardGame (kart oyunu kisivigi)
GUID$50BC07E4-A00D-4622-ACCC-EE52302E42AD

Sosyal Muhendislik

Hedef KitleTurkce konusan mali kurbanlar
Kimlik"Borclusu_Olunan_Cekler" = "Borclulardan Gelen Cekler" — finansal belge aldatmacasi
YontemFinans belgesi kisvesiyle exe dagitimi (e-posta/mesajlasma)

Teknik Analiz — Trojanized Uygulama

Ikili dosya, tum string'ler incelendiginde meşru bir seracilik/kart oyunu simulasyonu (CardGame.exe / GreenhouseClimateZone) oldugu gorulmektedir. Ancak bu, tespitten kacmak icin secilmis bir kiyafettir.

Loader Ozellikleri (String Kanitlari)

  • Dusurulecek payload: PmGo.exe (satirlar icinde tespit edildi)
  • Gomulu payload: Sifrelenmis .NET embedded resource olarak muhtemelen AsyncRAT
  • channelKey string'i: C2 iletisim anahtari veya sifreleme anahtari
  • Gizlenme: RotateGreenhouseHarvest, AgronomicSignature, EvapotranspirationMM gibi meşru agronomic API isimleri

PNG/ICO Kaynaklari (IDATx Chunk)

Binary icinde birden fazla PNG veri blogu var (IDATx^ basligi) — bunlar kart oyunu gorsellerinin yani sira sifreli payload tasiyabilir.

Teknik Yetenekler (Potansiyel)

  • Payload Indirme/Dusurme — PmGo.exe yazma ve calistirma
  • AsyncRAT RAT Islevleri (muhtemelen gomulu payload uzerinden): Keylogger, Screenshot, Uzaktan Erisim, 파일 Yoneticisi
  • Anti-AV — meşru uygulama kisivesiyle imza tespitinden kacma

C2 Durumu

C2 Adresi Gorunemedi: AsyncRAT konfigurasyonu runtime'da gomulu sifrelenmis kaynaktan cozumleniyor. 정적 분석 tek baslarina C2 adresi tespitine yeterli degil.
Tavsiye: Dinamik analiz (sandbox) ile PmGo.exe'nin ag faaliyetleri izlenmelidir.

IOC'lar

SHA25670c2fe27f67d5bd45f18c826a1dc1f852fa86b2de8271151a7b8c4d6d58f34d7
Dusurme 파일siPmGo.exe
GUID50BC07E4-A00D-4622-ACCC-EE52302E42AD
channelKeyAsyncRAT C2 iletisim anahtari (sifrelenmis)

Teknik Ozet

Bu ornek, Haziran 2026'da tespit edilen, "Borclusu Olunan Cekler" (borclu cekler) kimligiyle Turkce konusan kullanicilari hedef alan karmasik bir AsyncRAT dropper'idir. Zekice bir sosyal muhendislik saldirisi: bir seracilik/kart oyunu simulasyonunun arkasindan saklanarak, gercek bir C# uygulamasi olarak imzalanmamis ama gorunum itibarayle meşru gorunen bu binary, PmGo.exe adini verilen AsyncRAT yuk dosyasini kullana calistiriyor. Payload sifrelenmis embedded resource olarak saklandigi icin statik analiz C2 adresini cozemiyor; sandbox analizi gerekmektedir.

AsyncRAT — 악성코드 프로필

AsyncRAT, 2019'da acik kaynak olarak yayimlanan C# tabanli RAT ailesidir. Ekran yakalama, keylogger, dosya islemleri, HVNC ve plugin sistemine sahiptir. C2 AES-128-CBC ile sifrelenir, TCP uzerinden calisir. JS/PDF yemi ile dagitilir.

악성코드 유형
RAT
프로그래밍 언어
.NET C#
C2 프로토콜
TCP/SSL
대상 시스템
Windows
다른 이름 (AKA)
AsyncClient

기술 세부 정보

C# .NET, AES-128-CBC sifreleme, TCP port 6606/4449 (varsayilan), Mutex kontrol, Runtime assembly loading, Anti-analysis (VM check, Process listesi), HVNC, Keylogger, Stealer, Botnet modulu

귀속 / 위협 행위자

Acik kaynak - orjinal gelistirici GitHub'da yayinladi; surekli siber suclu toplulugu tarafindan kullanilmaktadir. APT operasyonlari da dahil olmak uzere cok sayida farkli tehdit aktoru kullanmaktadir.

기능 및 동작

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC 목록 (2 개 지표)

IOC — AsyncRAT
# SHA256 70c2fe27f67d5bd45f18c826a1dc1f852fa86b2de8271151a7b8c4d6d58f34d7 # FILEPATH PmGo.exe
유형메모
sha256 70c2fe27f67d5bd45f18c826a1dc1f852fa86b2de8271151a7b8c4d6d58f34d7
filepath PmGo.exe

C2 서버 (이 패밀리에 대해 8개의 서버 기록)

주소 유형 포트 프로토콜 상태 국가
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —

C2 주소는 KEYDAL 팀이 수동으로 검증한 악성코드 샘플에서만 제공됩니다. 상업적 사용은 금지됩니다.

태그
asyncratloaderturkishfinansaldropperc#pmgocardgamesosyal-muhendislikstatik-analiz