Manuel Statik Analiz — DarkGate Loader | Tehdit: KRİTİK
Dosya Kimliği
| SHA256 | a279ff2f21dd7f7d250976b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Dosya Adı | hash-isimli (7z arşiv içinde) |
| Boyut | 1.864.834 byte (1.78MB) |
| String Sayisi | 8.513 |
8Z9f.gg: Guernsey TLD C2 Domain
C2 TESPİT: .gg TLD C2 domain!
8Z9f.gg -- ".gg" = Guernsey (İngiliz bölgesi) country-code TLD -- "8Z9f" = 4 karakter alfanumerik (kısa rastgele DGA benzeri) -- DarkGate: .gg TLD'yi tercih eder (gaming "GG" ile de karışır) -- Kısa domain: hızlı kayıt + ucuz → kampanya sonrası terk edilir -- C2: bu domain üzerinden komut alımı ve veri sızdırma
Beş C2 Substring
O/c2k( -- O eğik çizgi c2 k parantez [.c22 -- köşeli parantez nokta c2 2 ]Q.Gc2 -- ] Q nokta G c2 xhPc2T -- x h P c2 T %4C2^is -- yüzde 4 C2 şapka i s
IOC
| SHA256 | a279ff2f21dd7f7d250976b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| C2 | 8Z9f.gg (Guernsey .gg TLD) |
DarkGate — Malware Profile
DarkGate modular loader. .gg TLD C2 preference. 8Z9f.gg. 7z archive delivery. Multi-stage: loader + stealer + RAT.
Malware Type
Loader
Programming Language
Delphi
C2 Protocol
HTTP
Target Systems
Windows
Capabilities & Behavior
Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı
IOC List (1 indicators)
IOC — DarkGate
# DOMAIN
8z9f.gg
| Type | Value | Note |
|---|---|---|
| domain | 8z9f.gg |
C2 Servers (1 recorded servers for this family)
| Address | Type | Port | Protocol | Status | Country |
|---|---|---|---|---|---|
| 8z9f.gg | domain | 443 | HTTPS | inactive | — |
C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.