Manuel Statik Analiz — SectopRAT/ArechClient2 | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | e6cf4d8f6bb3fcc4794028b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f5 |
|---|---|
| Dosya Adı | puk3ta8cyv1.ps1 (obfüskülenmiş PowerShell) |
| Boyut | 794.028 byte |
| String Sayisi | 11.478 |
.su TLD C2 Domain
IOC: Sovyet .su TLD C2 — Rusça konuşan siber suçlu altyapısı!
gtLane6906.Su -- .su (Sovyet Birliği) TLD C2 sunucusu -- "gtLane" = gaming/betting platform taklidi? -- "6906" = port veya kampanya numarası
Base64 C2 Config
rMZIRioWL/vSU4ZR4ovGIr0BSkpzKLjI2wAmKnRQ06dOGGYESdMJyi/8P2/exvSzzEH5XqF0k3c2obp3... -- URL-safe olmayan Base64 → C2 server adres/port/şifreleme config
IOC
| SHA256 | e6cf4d8f6bb3fcc4794028b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f5 |
|---|---|
| C2 | gtLane6906.Su |
SectopRAT2 — Malware Profili
SectopRAT2 (ArechClient2). PowerShell dropper. .su TLD C2. Base64 config. Remote access+credential steal.
Malware Tipi
RAT
Programlama Dili
C#/.NET
C2 Protokolü
TCP/HTTPS
Hedef Sistemler
Kuresel
Yetenekler ve Davranış
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC Listesi (1 gösterge)
IOC — SectopRAT2
# SHA256
e6cf4d8f6bb3fcc4794028b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f5
| Tür | Değer | Not |
|---|---|---|
| sha256 | e6cf4d8f6bb3fcc4794028b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f5 |
C2 Sunucuları (Bu aile için 1 kayıtlı sunucu)
| Adres | Tür | Port | Protokol | Durum | Ülke |
|---|---|---|---|---|---|
| gtLane6906.su | domain | 443 | HTTPS | inactive | — |
C2 adresleri yalnızca KEYDAL ekibinin manuel olarak doğruladığı malware örnekleri üzerinden sunulmaktadır. Ticari amaçla kullanılamaz.