Manuel Statik Analiz (LLM Okumali) — AsyncRAT Loader / Trojanized Card Game | Tehdit: CRITICAL
Onemli Bulgu: Bu ornek, AsyncRAT'i dogrudan calistiran bir binary degildir. Meşru bir C# kart oyunu uygulamasina (CardGame) gomulmus, Turkce mali kurbanlar hedef alan bir dropper/loader'dir.

Archivo Kimligi

SHA25670c2fe27f67d5bd45f18c826a1dc1f852fa86b2de8271151a7b8c4d6d58f34d7
Orijinal AdBorclusu_Olunan_Cekler_Gunbasi_25.06.2026.exe
Tamaño752.640 byte (~735 KB)
Dil / RuntimeC# / .NET Framework 4.7.2
Uygulama AdiCardGame (kart oyunu kisivigi)
GUID$50BC07E4-A00D-4622-ACCC-EE52302E42AD

Sosyal Muhendislik

Hedef KitleTurkce konusan mali kurbanlar
Kimlik"Borclusu_Olunan_Cekler" = "Borclulardan Gelen Cekler" — finansal belge aldatmacasi
YontemFinans belgesi kisvesiyle exe dagitimi (e-posta/mesajlasma)

Teknik Analiz — Trojanized Uygulama

Ikili dosya, tum string'ler incelendiginde meşru bir seracilik/kart oyunu simulasyonu (CardGame.exe / GreenhouseClimateZone) oldugu gorulmektedir. Ancak bu, tespitten kacmak icin secilmis bir kiyafettir.

Loader Ozellikleri (String Kanitlari)

  • Dusurulecek payload: PmGo.exe (satirlar icinde tespit edildi)
  • Gomulu payload: Sifrelenmis .NET embedded resource olarak muhtemelen AsyncRAT
  • channelKey string'i: C2 iletisim anahtari veya sifreleme anahtari
  • Gizlenme: RotateGreenhouseHarvest, AgronomicSignature, EvapotranspirationMM gibi meşru agronomic API isimleri

PNG/ICO Kaynaklari (IDATx Chunk)

Binary icinde birden fazla PNG veri blogu var (IDATx^ basligi) — bunlar kart oyunu gorsellerinin yani sira sifreli payload tasiyabilir.

Teknik Yetenekler (Potansiyel)

  • Payload Indirme/Dusurme — PmGo.exe yazma ve calistirma
  • AsyncRAT RAT Islevleri (muhtemelen gomulu payload uzerinden): Keylogger, Screenshot, Uzaktan Erisim, Archivo Yoneticisi
  • Anti-AV — meşru uygulama kisivesiyle imza tespitinden kacma

C2 Durumu

C2 Adresi Gorunemedi: AsyncRAT konfigurasyonu runtime'da gomulu sifrelenmis kaynaktan cozumleniyor. Análisis estático tek baslarina C2 adresi tespitine yeterli degil.
Tavsiye: Dinamik analiz (sandbox) ile PmGo.exe'nin ag faaliyetleri izlenmelidir.

IOC'lar

SHA25670c2fe27f67d5bd45f18c826a1dc1f852fa86b2de8271151a7b8c4d6d58f34d7
Dusurme ArchivosiPmGo.exe
GUID50BC07E4-A00D-4622-ACCC-EE52302E42AD
channelKeyAsyncRAT C2 iletisim anahtari (sifrelenmis)

Teknik Ozet

Bu ornek, Haziran 2026'da tespit edilen, "Borclusu Olunan Cekler" (borclu cekler) kimligiyle Turkce konusan kullanicilari hedef alan karmasik bir AsyncRAT dropper'idir. Zekice bir sosyal muhendislik saldirisi: bir seracilik/kart oyunu simulasyonunun arkasindan saklanarak, gercek bir C# uygulamasi olarak imzalanmamis ama gorunum itibarayle meşru gorunen bu binary, PmGo.exe adini verilen AsyncRAT yuk dosyasini kullana calistiriyor. Payload sifrelenmis embedded resource olarak saklandigi icin statik analiz C2 adresini cozemiyor; sandbox analizi gerekmektedir.

AsyncRAT — Perfil del malware

AsyncRAT, 2019'da acik kaynak olarak yayimlanan C# tabanli RAT ailesidir. Ekran yakalama, keylogger, dosya islemleri, HVNC ve plugin sistemine sahiptir. C2 AES-128-CBC ile sifrelenir, TCP uzerinden calisir. JS/PDF yemi ile dagitilir.

Tipo de malware
RAT
Lenguaje de programación
.NET C#
Protocolo C2
TCP/SSL
Sistemas objetivo
Windows
También conocido como (AKA)
AsyncClient

Detalles técnicos

C# .NET, AES-128-CBC sifreleme, TCP port 6606/4449 (varsayilan), Mutex kontrol, Runtime assembly loading, Anti-analysis (VM check, Process listesi), HVNC, Keylogger, Stealer, Botnet modulu

Atribución / Actor de amenaza

Acik kaynak - orjinal gelistirici GitHub'da yayinladi; surekli siber suclu toplulugu tarafindan kullanilmaktadir. APT operasyonlari da dahil olmak uzere cok sayida farkli tehdit aktoru kullanmaktadir.

Capacidades y comportamiento

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

Lista IOC (2 indicadores)

IOC — AsyncRAT
# SHA256 70c2fe27f67d5bd45f18c826a1dc1f852fa86b2de8271151a7b8c4d6d58f34d7 # FILEPATH PmGo.exe
TipoValorNota
sha256 70c2fe27f67d5bd45f18c826a1dc1f852fa86b2de8271151a7b8c4d6d58f34d7
filepath PmGo.exe

Servidores C2 (8 servidores registrados para esta familia)

Dirección Tipo Puerto Protocolo Estado País
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —

Las direcciones C2 se proporcionan únicamente a partir de muestras de malware verificadas manualmente por el equipo KEYDAL. Se prohíbe el uso comercial.

Etiquetas
asyncratloaderturkishfinansaldropperc#pmgocardgamesosyal-muhendislikstatik-analiz