Bu ornek, APT36 (Transparent Tribe) tarafindan Hindistan merkezli duyu tank kuruluslarina (ICWA — Indian Council of World Affairs) yonelik hedefli bir siber saldiri kampanyasinin parcasidir. Haziran 2026 tarihli lure dosyasi, aktif kampanya oldugunu dogrulamaktadir.
Dosya Kimligi
| SHA256 | 8690354fb8a8e640e586b8022392aef9bd58519e4aa9c70f697b82db74ba7d61 |
|---|---|
| Orijinal Ad | Invitation-Letter-Fazel-Mumbai-House-ICWA-Jun-2026.iso |
| Boyut | 4.784.128 byte (~4.5 MB) |
| Format | ISO 9660 CD-ROM imaji |
Teslimat Vektoru — ICWA Davet Mektubu Sahteligi
ISO dosyasi, Haziran 2026 tarihli ICWA (Indian Council of World Affairs) davet mektubu olarak sunulmaktadir. Bu tur hedefli phishing (spear-phishing) APT36'nin Hindistanli savunma ve dis politika personeline yonelik tipik TTL'leriyle (Taktik, Teknik, Prosedur) uyumludur. "Fazel Mumbai House" referansi somut bir sosyal muhendislik bilesenini gostermektedir.
Teknik Analiz — Zarli ISO Icerigi
C:\ProgramData\z olarak birakilan CrimsonRAT payload.
Tespit Edilen Komutlar (Binary String)
powershell Unblock-File -Path "C:\ProgramData\z" mklink /h "%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\TLauncher.exe" "C:\ProgramData\z" >nul start "" "%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\TLauncher.exe" && EXIT
Analiz Adim Adim
- ISO Bağlanir: Kurban ISO'yu tıklar, Windows otomatik olarak bağlar.
- TLauncher kili#62;: Kurban meşru bir Minecraft launcher sandığını düsünür.
- PowerShell Bypass:
Unblock-Filekomutu ile indirme engeli kaldirilir. - Kalicilik:
C:\ProgramData\zadli payload, Startup klasoruneTLauncher.exeadi altinda sabit baglanti (hard link) olarak eklenir. - Yürütme: Payload calistirilir ve sistem yeniden baslatildiginda da otomatik olarak calisir.
C2 Altyapisi
CrimsonRAT C2 URL'si binary icerisinde sifreli olarak saklanmaktadir. ISO icindeki TLauncher bileseninden http://java-for-minecraft.com/ URL'si tespit edilmis; bu adres Java kurulumu rehber linki olarak kullanilmaktadir. Asil CrimsonRAT C2 endpoint'i statik analizde gorunur degildir.
IOC
| SHA256 | 8690354fb8a8e640e586b8022392aef9bd58519e4aa9c70f697b82db74ba7d61 |
|---|---|
| ISO Adi | Invitation-Letter-Fazel-Mumbai-House-ICWA-Jun-2026.iso |
| Payload Yolu | C:\ProgramData\z |
| Kalicilik Yolu | %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\TLauncher.exe |
| PowerShell Komutu | Unblock-File -Path "C:\ProgramData\z" |
| C2 | Sifrelenmis (dinamik analiz gerekli) |
| Hedef Kurum | ICWA — Hindistan dis politika think-tank |
Bilinen CrimsonRAT Yetenekleri
- Tam uzaktan erisim (dosya yonetimi, komut yürütme)
- Ekran goruntüsü alma
- Keylogger
- Tarayici kimlik bilgileri calma
- Dosya yükleme/indirme
- Process yonetimi
Nasil Kaldirilir?
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\altindaki TLauncher.exe silinsinC:\ProgramData\zdosyasi silinsin- Registry Run key'leri kontrol edilsin
- Guncel AV taramasi yapilsin
CrimsonRAT — Malware Profile
CrimsonRAT APT36 Transparent Tribe Pakistan 2017. ICWA Mumbai Hindistan diplomatik lure. java-for-minecraft.com. .NET+Delphi.
Capabilities & Behavior
IOC List (1 indicators)
# SHA256
8690354fb8a8e640e586b8022392aef9bd58519e4aa9c70f697b82db74ba7d61
| Type | Value | Note |
|---|---|---|
| sha256 | 8690354fb8a8e640e586b8022392aef9bd58519e4aa9c70f697b82db74ba7d61 |
C2 Servers (2 recorded servers for this family)
| Address | Type | Port | Protocol | Status | Country |
|---|---|---|---|---|---|
| java-for-minecraft.com | domain | 80 | HTTP | active | — |
| java-for-minecraft.com | domain | 80 | HTTP | active | — |
C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.