Manuel Statik Analiz (LLM Okumali) — AsyncRAT Loader / Trojanized Card Game | Tehdit: CRITICAL
Onemli Bulgu: Bu ornek, AsyncRAT'i dogrudan calistiran bir binary degildir. Meşru bir C# kart oyunu uygulamasina (CardGame) gomulmus, Turkce mali kurbanlar hedef alan bir dropper/loader'dir.

Fichier Kimligi

SHA25670c2fe27f67d5bd45f18c826a1dc1f852fa86b2de8271151a7b8c4d6d58f34d7
Orijinal AdBorclusu_Olunan_Cekler_Gunbasi_25.06.2026.exe
Taille752.640 byte (~735 KB)
Dil / RuntimeC# / .NET Framework 4.7.2
Uygulama AdiCardGame (kart oyunu kisivigi)
GUID$50BC07E4-A00D-4622-ACCC-EE52302E42AD

Sosyal Muhendislik

Hedef KitleTurkce konusan mali kurbanlar
Kimlik"Borclusu_Olunan_Cekler" = "Borclulardan Gelen Cekler" — finansal belge aldatmacasi
YontemFinans belgesi kisvesiyle exe dagitimi (e-posta/mesajlasma)

Teknik Analiz — Trojanized Uygulama

Ikili dosya, tum string'ler incelendiginde meşru bir seracilik/kart oyunu simulasyonu (CardGame.exe / GreenhouseClimateZone) oldugu gorulmektedir. Ancak bu, tespitten kacmak icin secilmis bir kiyafettir.

Loader Ozellikleri (String Kanitlari)

  • Dusurulecek payload: PmGo.exe (satirlar icinde tespit edildi)
  • Gomulu payload: Sifrelenmis .NET embedded resource olarak muhtemelen AsyncRAT
  • channelKey string'i: C2 iletisim anahtari veya sifreleme anahtari
  • Gizlenme: RotateGreenhouseHarvest, AgronomicSignature, EvapotranspirationMM gibi meşru agronomic API isimleri

PNG/ICO Kaynaklari (IDATx Chunk)

Binary icinde birden fazla PNG veri blogu var (IDATx^ basligi) — bunlar kart oyunu gorsellerinin yani sira sifreli payload tasiyabilir.

Teknik Yetenekler (Potansiyel)

  • Payload Indirme/Dusurme — PmGo.exe yazma ve calistirma
  • AsyncRAT RAT Islevleri (muhtemelen gomulu payload uzerinden): Keylogger, Screenshot, Uzaktan Erisim, Fichier Yoneticisi
  • Anti-AV — meşru uygulama kisivesiyle imza tespitinden kacma

C2 Durumu

C2 Adresi Gorunemedi: AsyncRAT konfigurasyonu runtime'da gomulu sifrelenmis kaynaktan cozumleniyor. Analyse statique tek baslarina C2 adresi tespitine yeterli degil.
Tavsiye: Dinamik analiz (sandbox) ile PmGo.exe'nin ag faaliyetleri izlenmelidir.

IOC'lar

SHA25670c2fe27f67d5bd45f18c826a1dc1f852fa86b2de8271151a7b8c4d6d58f34d7
Dusurme FichiersiPmGo.exe
GUID50BC07E4-A00D-4622-ACCC-EE52302E42AD
channelKeyAsyncRAT C2 iletisim anahtari (sifrelenmis)

Teknik Ozet

Bu ornek, Haziran 2026'da tespit edilen, "Borclusu Olunan Cekler" (borclu cekler) kimligiyle Turkce konusan kullanicilari hedef alan karmasik bir AsyncRAT dropper'idir. Zekice bir sosyal muhendislik saldirisi: bir seracilik/kart oyunu simulasyonunun arkasindan saklanarak, gercek bir C# uygulamasi olarak imzalanmamis ama gorunum itibarayle meşru gorunen bu binary, PmGo.exe adini verilen AsyncRAT yuk dosyasini kullana calistiriyor. Payload sifrelenmis embedded resource olarak saklandigi icin statik analiz C2 adresini cozemiyor; sandbox analizi gerekmektedir.

AsyncRAT — Profil du malware

AsyncRAT, 2019'da acik kaynak olarak yayimlanan C# tabanli RAT ailesidir. Ekran yakalama, keylogger, dosya islemleri, HVNC ve plugin sistemine sahiptir. C2 AES-128-CBC ile sifrelenir, TCP uzerinden calisir. JS/PDF yemi ile dagitilir.

Type de malware
RAT
Langage de programmation
.NET C#
Protocole C2
TCP/SSL
Systèmes ciblés
Windows
Aussi connu sous (AKA)
AsyncClient

Détails techniques

C# .NET, AES-128-CBC sifreleme, TCP port 6606/4449 (varsayilan), Mutex kontrol, Runtime assembly loading, Anti-analysis (VM check, Process listesi), HVNC, Keylogger, Stealer, Botnet modulu

Attribution / Acteur de la menace

Acik kaynak - orjinal gelistirici GitHub'da yayinladi; surekli siber suclu toplulugu tarafindan kullanilmaktadir. APT operasyonlari da dahil olmak uzere cok sayida farkli tehdit aktoru kullanmaktadir.

Capacités et comportement

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

Liste IOC (2 indicateurs)

IOC — AsyncRAT
# SHA256 70c2fe27f67d5bd45f18c826a1dc1f852fa86b2de8271151a7b8c4d6d58f34d7 # FILEPATH PmGo.exe
TypeValeurNote
sha256 70c2fe27f67d5bd45f18c826a1dc1f852fa86b2de8271151a7b8c4d6d58f34d7
filepath PmGo.exe

Serveurs C2 (8 serveurs enregistrés pour cette famille)

Adresse Type Port Protocole Statut Pays
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —

Les adresses C2 proviennent uniquement d'échantillons de malwares vérifiés manuellement par l'équipe KEYDAL. Toute utilisation commerciale est interdite.

Tags
asyncratloaderturkishfinansaldropperc#pmgocardgamesosyal-muhendislikstatik-analiz