Manuel Statik Analiz — DarkGate | Tehdit: YUKSEK

Dosya Kimliği

SHA256a279ff2f21dd7f7d1864834b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Dosya Adıa279ff2f21dd7f7d... (7z arşiv içinde payload)
Boyut1.864.834 byte → 7z → PE
String Sayisi8.513

C2: 8Z9f.gg (.GG TLD)

C2 Tespit: 8Z9f.gg domain!
8Z9f.gg
-- .GG = Guernsey İngiliz Ülkesi TLD (gaming toplulukları kullanır)
-- "8Z9f" = 4 karakter rastgele alfanumerik (obfuskated domain name)
-- DarkGate .gg TLD kullanımı: gaming'e karışarak trafik gizleme
-- Büyük/küçük harf karışımı: "8Z9f" = 8 + Z + 9 + f

Kaynak Kodda c2 Substring Referansları

O/c2k(
[.c22
]Q.Gc2
xhPc2T
-- "c2" = C2 (Command & Control) referansları XOR/RC4 obfuskasyon içinde
-- DarkGate C2 string: şifrelenmiş ama "c2" parçaları gözüküyor
-- Birden fazla varyasyon: c2k, c22, Gc2, c2T → polimorfik config

DarkGate Hakkında

DarkGate 2018'de Delphi ile yazılmış ama 2023'ten itibaren MaaS olarak satılmaya başlandı. Teams/Skype phishing, malvertising ve zip arşivlerle dağıtılır. Keylogger, credential stealer, remote access ve crypto mining modülleri vardır. TA577 grubu kullandı. C2: HTTPS + IRC benzeri protokol.

IOC

SHA256a279ff2f21dd7f7d1864834b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
C28Z9f.gg

DarkGate2 — Malware Profile

DarkGate 2018 Delphi MaaS 2023. 8Z9f.gg .GG TLD C2. 7z archive. Teams Skype phishing. Keylogger + stealer + miner.

Malware Type
Loader
Programming Language
Delphi/C++
C2 Protocol
HTTPS
Target Systems
Küresel

Capabilities & Behavior

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

IOC List (1 indicators)

IOC — DarkGate2
# DOMAIN 8z9f.gg
TypeValueNote
domain 8z9f.gg

C2 Servers (1 recorded servers for this family)

Address Type Port Protocol Status Country
8Z9f.gg domain 443 HTTPS inactive —

C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.

Tags
darkgate8z9f-gg-c2gg-tld-c27z-archivec2-substring-referencesdarkgate-loader