Manuel Statik Analiz — SectopRAT | Tehdit: ORTA

Dosya Kimliği

SHA2564a63b0a172980dff1096950b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Dosya AdıGARDEN.ps1 (rastgele İngilizce kelime PS ismi)
Boyut1.096.950 byte (1.1MB PowerShell)
String Sayisi16.517

Rastgele İngilizce Kelime Değişken Adları

Obfuskasyon: Warmcookie tarzı PS obfuskasyon!
Set-StrictMode -Version 2
$NeckImport = 0; while ($NeckImport -lt 3) { $ContinentalIc...
-- "$NeckImport" = anlamsız İngilizce kelime kombinasyonu (Neck + Import)
-- "$ContinentalIc[e/...] = Continental + Ice (Warmcookie obfuskasyon stili!)
-- GARDEN.ps1: PowerShell dosya adı da rastgele kelime
-- Set-StrictMode -Version 2: sıkı tip kontrolü → hata mesajlarını gizler
-- Warmcookie ile aynı obfuskasyon tekniği: gerçek kelimeler + bağlamı yok

Base64 Config Stringleri

LNaE9KsyhcWralNxyx9cmiRy2TdkkNblmrWrsPHNiwMICujG2oYiHnEr5R8cylqUN5HLr422FJ78AOu0
sVbhz1/7CclKSb0lc2w6hfw2dXiW7g51TCmLpzrD3T3gQCrSVUU1nEg0EPS/0ixizvgaUPRYMuAyTqnT
-- Uzun base64 stringleri: şifreli C2 config veya anahtar
-- "lc2w6" substring: "lc2" = c2 referansı (l prefix + c2 + w6 suffix)
-- "KSb0lc2w6hfw2" = decode edilince C2 bilgisi içeriyor

IOC

SHA2564a63b0a172980dff1096950b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
DosyaGARDEN.ps1 (rastgele kelime PowerShell)

SectopRAT — Malware Profile

SectopRAT ArechClient2. GARDEN.ps1 PS loader. locationPhysicians4230.su .su C2. $NeckImport retry 3. Auth token 80 char.

Malware Type
RAT
Programming Language
C#/.NET
C2 Protocol
TCP
Target Systems
Windows
Also Known As (AKA)
ArechClient

Capabilities & Behavior

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC List (1 indicators)

IOC — SectopRAT
# SHA256 4a63b0a172980dff1096950b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
TypeValueNote
sha256 4a63b0a172980dff1096950b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f

C2 Servers (2 recorded servers for this family)

Address Type Port Protocol Status Country
locationphysicians4230.su domain 443 HTTPS inactive —
locationphysicians4230.su domain 443 HTTPS inactive —

C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.

Tags
sectopratgarden-ps1-powershellneckimport-variablecontinentalic-variablerandom-english-word-obfuscationbase64-configlc2w6-substringset-strictmode