Manuel Statik Analiz — SectopRAT/ArechClient2 | Tehdit: YUKSEK

파일 Kimliği

SHA256e6cf4d8f6bb3fcc4794028b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f5
파일 이름puk3ta8cyv1.ps1 (obfüskülenmiş PowerShell)
크기794.028 byte
String Sayisi11.478

.su TLD C2 Domain

IOC: Sovyet .su TLD C2 — Rusça konuşan siber suçlu altyapısı!
gtLane6906.Su  -- .su (Sovyet Birliği) TLD C2 sunucusu
-- "gtLane" = gaming/betting platform taklidi?
-- "6906" = port veya kampanya numarası

Base64 C2 Config

rMZIRioWL/vSU4ZR4ovGIr0BSkpzKLjI2wAmKnRQ06dOGGYESdMJyi/8P2/exvSzzEH5XqF0k3c2obp3...
-- URL-safe olmayan Base64 → C2 server adres/port/şifreleme config

IOC

SHA256e6cf4d8f6bb3fcc4794028b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f5
C2gtLane6906.Su

SectopRAT2 — 악성코드 프로필

SectopRAT2 (ArechClient2). PowerShell dropper. .su TLD C2. Base64 config. Remote access+credential steal.

악성코드 유형
RAT
프로그래밍 언어
C#/.NET
C2 프로토콜
TCP/HTTPS
대상 시스템
Kuresel

기능 및 동작

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC 목록 (1 개 지표)

IOC — SectopRAT2
# SHA256 e6cf4d8f6bb3fcc4794028b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f5
유형메모
sha256 e6cf4d8f6bb3fcc4794028b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f5

C2 서버 (이 패밀리에 대해 1개의 서버 기록)

주소 유형 포트 프로토콜 상태 국가
gtLane6906.su domain 443 HTTPS inactive —

C2 주소는 KEYDAL 팀이 수동으로 검증한 악성코드 샘플에서만 제공됩니다. 상업적 사용은 금지됩니다.

태그
sectopratarechclient2powershell-droppersu-tldgtlane6906base64-config