Manuel Statik Analiz (LLM Okumali) — AsyncRAT Loader / Trojanized Card Game | Tehdit: CRITICAL
Onemli Bulgu: Bu ornek, AsyncRAT'i dogrudan calistiran bir binary degildir. Meşru bir C# kart oyunu uygulamasina (CardGame) gomulmus, Turkce mali kurbanlar hedef alan bir dropper/loader'dir.

Dosya Kimligi

SHA25670c2fe27f67d5bd45f18c826a1dc1f852fa86b2de8271151a7b8c4d6d58f34d7
Orijinal AdBorclusu_Olunan_Cekler_Gunbasi_25.06.2026.exe
Boyut752.640 byte (~735 KB)
Dil / RuntimeC# / .NET Framework 4.7.2
Uygulama AdiCardGame (kart oyunu kisivigi)
GUID$50BC07E4-A00D-4622-ACCC-EE52302E42AD

Sosyal Muhendislik

Hedef KitleTurkce konusan mali kurbanlar
Kimlik"Borclusu_Olunan_Cekler" = "Borclulardan Gelen Cekler" — finansal belge aldatmacasi
YontemFinans belgesi kisvesiyle exe dagitimi (e-posta/mesajlasma)

Teknik Analiz — Trojanized Uygulama

Ikili dosya, tum string'ler incelendiginde meşru bir seracilik/kart oyunu simulasyonu (CardGame.exe / GreenhouseClimateZone) oldugu gorulmektedir. Ancak bu, tespitten kacmak icin secilmis bir kiyafettir.

Loader Ozellikleri (String Kanitlari)

  • Dusurulecek payload: PmGo.exe (satirlar icinde tespit edildi)
  • Gomulu payload: Sifrelenmis .NET embedded resource olarak muhtemelen AsyncRAT
  • channelKey string'i: C2 iletisim anahtari veya sifreleme anahtari
  • Gizlenme: RotateGreenhouseHarvest, AgronomicSignature, EvapotranspirationMM gibi meşru agronomic API isimleri

PNG/ICO Kaynaklari (IDATx Chunk)

Binary icinde birden fazla PNG veri blogu var (IDATx^ basligi) — bunlar kart oyunu gorsellerinin yani sira sifreli payload tasiyabilir.

Teknik Yetenekler (Potansiyel)

  • Payload Indirme/Dusurme — PmGo.exe yazma ve calistirma
  • AsyncRAT RAT Islevleri (muhtemelen gomulu payload uzerinden): Keylogger, Screenshot, Uzaktan Erisim, Dosya Yoneticisi
  • Anti-AV — meşru uygulama kisivesiyle imza tespitinden kacma

C2 Durumu

C2 Adresi Gorunemedi: AsyncRAT konfigurasyonu runtime'da gomulu sifrelenmis kaynaktan cozumleniyor. Statik analiz tek baslarina C2 adresi tespitine yeterli degil.
Tavsiye: Dinamik analiz (sandbox) ile PmGo.exe'nin ag faaliyetleri izlenmelidir.

IOC'lar

SHA25670c2fe27f67d5bd45f18c826a1dc1f852fa86b2de8271151a7b8c4d6d58f34d7
Dusurme DosyasiPmGo.exe
GUID50BC07E4-A00D-4622-ACCC-EE52302E42AD
channelKeyAsyncRAT C2 iletisim anahtari (sifrelenmis)

Teknik Ozet

Bu ornek, Haziran 2026'da tespit edilen, "Borclusu Olunan Cekler" (borclu cekler) kimligiyle Turkce konusan kullanicilari hedef alan karmasik bir AsyncRAT dropper'idir. Zekice bir sosyal muhendislik saldirisi: bir seracilik/kart oyunu simulasyonunun arkasindan saklanarak, gercek bir C# uygulamasi olarak imzalanmamis ama gorunum itibarayle meşru gorunen bu binary, PmGo.exe adini verilen AsyncRAT yuk dosyasini kullana calistiriyor. Payload sifrelenmis embedded resource olarak saklandigi icin statik analiz C2 adresini cozemiyor; sandbox analizi gerekmektedir.

AsyncRAT — Malware Profile

AsyncRAT, 2019'da acik kaynak olarak yayimlanan C# tabanli RAT ailesidir. Ekran yakalama, keylogger, dosya islemleri, HVNC ve plugin sistemine sahiptir. C2 AES-128-CBC ile sifrelenir, TCP uzerinden calisir. JS/PDF yemi ile dagitilir.

Malware Type
RAT
Programming Language
.NET C#
C2 Protocol
TCP/SSL
Target Systems
Windows
Also Known As (AKA)
AsyncClient

Technical Details

C# .NET, AES-128-CBC sifreleme, TCP port 6606/4449 (varsayilan), Mutex kontrol, Runtime assembly loading, Anti-analysis (VM check, Process listesi), HVNC, Keylogger, Stealer, Botnet modulu

Attribution / Threat Actor

Acik kaynak - orjinal gelistirici GitHub'da yayinladi; surekli siber suclu toplulugu tarafindan kullanilmaktadir. APT operasyonlari da dahil olmak uzere cok sayida farkli tehdit aktoru kullanmaktadir.

Capabilities & Behavior

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC List (2 indicators)

IOC — AsyncRAT
# SHA256 70c2fe27f67d5bd45f18c826a1dc1f852fa86b2de8271151a7b8c4d6d58f34d7 # FILEPATH PmGo.exe
TypeValueNote
sha256 70c2fe27f67d5bd45f18c826a1dc1f852fa86b2de8271151a7b8c4d6d58f34d7
filepath PmGo.exe

C2 Servers (8 recorded servers for this family)

Address Type Port Protocol Status Country
system.io domain — TCP active —
system.io domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
system.io domain — TCP active —
system.io domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —

C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.

Tags
asyncratloaderturkishfinansaldropperc#pmgocardgamesosyal-muhendislikstatik-analiz