Manuel Statik Analiz (LLM Okumali) — AsyncRAT (Turkce Finans Tuzagi) | Tehdit: KRITIK

Dosya Kimligi

SHA25670c2fe27f67d5bd45f18c826a1dc1f852fa86c9e1d3a5b7e8c0f2d4a6b9e1c3d
Orijinal AdBorclusu_Olunan_Cekler_Gunbasi_25.06.2026.exe
Boyut752.640 byte
Dil.NET Framework 4.0

Teslimat: Turk Finans Belgesi Tuzagi

Bu ornek Turkce konusanlari hedef alan bir AsyncRAT kampanyasinin parcasidir. Dosya adi "Borclularin Cekleri Gun Basi 25.06.2026" anlamina gelmekte olup finans/muhasebe personeline yonelik hedefli bir teslimat gostermektedir.

Gelistirici Izi — PDB Yolu

C:\Users\Administrator\Desktop\Client\Temp\zmaeQNBJja\src\obj\Debug\PmGo.pdb

Bu PDB yolundan elde edilen bilgiler:

  • Gelistirici sistemi: Administrator hesabiyla calistirilmis — tipik bir VPS/RDP ortami
  • Rastgele temp klasoru: zmaeQNBJja — dinamik uretilmis derleme ortami
  • Dahili proje adi: PmGo
  • Build tipi: Debug modu

IOC

SHA25670c2fe27f67d5bd45f18c826a1dc1f852fa86c9e1d3a5b7e8c0f2d4a6b9e1c3d
LureBorclusu_Olunan_Cekler_Gunbasi_25.06.2026.exe
HedefTurk finans/muhasebe personeli
PDBC:\Users\Administrator\Desktop\Client\Temp\zmaeQNBJja\src\...\PmGo.pdb
C2Sifrelenmis TCP (dinamik analiz gerekli)

AsyncRAT — Malware Profile

AsyncRAT, 2019'da acik kaynak olarak yayimlanan C# tabanli RAT ailesidir. Ekran yakalama, keylogger, dosya islemleri, HVNC ve plugin sistemine sahiptir. C2 AES-128-CBC ile sifrelenir, TCP uzerinden calisir. JS/PDF yemi ile dagitilir.

Malware Type
RAT
Programming Language
.NET C#
C2 Protocol
TCP/SSL
Target Systems
Windows
Also Known As (AKA)
AsyncClient

Technical Details

C# .NET, AES-128-CBC sifreleme, TCP port 6606/4449 (varsayilan), Mutex kontrol, Runtime assembly loading, Anti-analysis (VM check, Process listesi), HVNC, Keylogger, Stealer, Botnet modulu

Attribution / Threat Actor

Acik kaynak - orjinal gelistirici GitHub'da yayinladi; surekli siber suclu toplulugu tarafindan kullanilmaktadir. APT operasyonlari da dahil olmak uzere cok sayida farkli tehdit aktoru kullanmaktadir.

Capabilities & Behavior

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC List (1 indicators)

IOC — AsyncRAT
# SHA256 70c2fe27f67d5bd45f18c826a1dc1f852fa86c9e1d3a5b7e8c0f2d4a6b9e1c3d
TypeValueNote
sha256 70c2fe27f67d5bd45f18c826a1dc1f852fa86c9e1d3a5b7e8c0f2d4a6b9e1c3d

C2 Servers (8 recorded servers for this family)

Address Type Port Protocol Status Country
system.io domain — TCP active —
system.io domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
system.io domain — TCP active —
system.io domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —

C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.

Tags
asyncratratturk-lureborclu-ceklerpdb-admintcp-sifrelenmisfinans-tuzak