Manuel Statik Analiz — Phorpiex (Trik) Botnet | Tehdit: YUKSEK

Dosya Kimliği

SHA25612815f32a4ba6e89113664b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Boyut113.664 byte (küçük, hızlı yayılan botnet core)
String Sayisi758

Zincir İndirme C2 IP

C2 IP: 178.16.54.109 — lb10/lb11/lb12 zincir yükleme!
http://178.16.54.109/lb10.exe   -- Yük 1
http://178.16.54.109/lb11.exe   -- Yük 2
http://178.16.54.109/lb12       -- Yük 3 (uzantısız)
-- "lb" = "load bot" veya "load binary"
-- Sıralı indirme = her biri farklı payload (sextortion spam, ransomware, stealer)
-- Ham IP: domain takedown dayanıklılığı

Coğrafi Konum Filtresi

ip-api.com  -- GeoIP servisi sorgulama
-- Ülke/bölge tespiti → hedef filtresi
-- Bazı Phorpiex varyantları belirli ülkeleri atlar

Phorpiex / Trik Hakkında

Phorpiex (diğer adıyla Trik), 2016'da tespit edilen ve sextortion/spam kampanyalarıyla ünlü botnet'tir. Zirve döneminde 1.5 milyon enfekte makine barındırdı. Fidye yazılımı dağıtımı için de kullanıldı. 2021'de bazı operatörler yeraltı forumda kaynak kodu sattı.

IOC

SHA25612815f32a4ba6e89113664b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
C2 IP178.16.54.109:80
İndirme/lb10.exe, /lb11.exe, /lb12

Phorpiex — Malware Profile

Phorpiex/Trik botnet. 178.16.54.109 C2 IP. lb10/lb11/lb12 cok asamali payload. Spam + crypto mining + clipper.

Malware Type
Botnet
Programming Language
C++
C2 Protocol
HTTP/P2P
Target Systems
Kuresel

Capabilities & Behavior

DDoS Saldırısı
Botnet Genişletme
Brute Force Taran
Payload Dağıtımı
Uzaktan Komut
Ağ Tarama
Kimlik Bilgisi Çalma
IoT Cihaz Kontrolü

IOC List (2 indicators)

IOC — Phorpiex
# IP 178.16.54.109 # DOMAIN ip-api.com
TypeValueNote
ip 178.16.54.109
domain ip-api.com

C2 Servers (4 recorded servers for this family)

Address Type Port Protocol Status Country
178.16.54.109 ip — HTTP active —
178.16.54.109 ip 80 HTTP active —
178.16.54.109 ip 80 HTTP active —
178.16.54.109 ip 80 HTTP active —

C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.

Tags
phorpiextrik178-16-54-109lb10-lb11-lb12chain-downloaddirect-ip-c2ip-api-geolocation