Manuel Statik Analiz — SectopRAT (ArechClient2) | Tehdit: YUKSEK

Dosya Kimliği

SHA2564a63b0a172980dff1096950b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Dosya AdıGARDEN.ps1 (PowerShell script yükleyici)
Boyut1.096.950 byte (1.05MB)
String Sayisi16.517

locationPhysicians4230.su: Sovyet TLD C2

C2 TESPİT: .su (Sovyet Birliği) TLD C2!
locationPhysicians4230.su
-- ".su" = Sovyet Birliği TLD (1990'dan itibaren hâlâ aktif)
-- "locationPhysicians" = doktor konum servisi taklidi
-- "4230" = rastgele numara (DGA-vari)
-- .su TLD: Rusya bağlantılı siber suçlular tarafından tercih edilir
-- Domain registrar takibi zor → uzun süre aktif kalabilir

Kimlik Doğrulama Tokenleri

LNaE9KsyhcWralNxyx9cmiRy2TdkkNblmrWrsPHNiwMICujG2oYiHnEr5R8cylqUN5HLr422FJ78AOu0
sVbhz1/7CclKSb0lc2w6hfw2dXiW7g51TCmLpzrD3T3gQCrSVUU1nEg0EPS/0ixizvgaUPRYMuAyTqnT
-- 80+ karakter karışık token'lar → C2 kimlik doğrulama
-- "/" içeriyor → Base64 kodlu değer (standart Base64 alphabet)
-- Her agent için benzersiz: parmak izi veya erişim anahtarı
-- Token doğrulama: C2 sunucusu → "Bu agent geçerli mi?" kontrolü

$NeckImport Retry Döngüsü

Set-StrictMode -Version 2
$NeckImport = 0; while ($NeckImport -lt 3) { $ContinentalIc[...]
-- "$NeckImport" = obfuscated sayaç değişkeni (0'dan başlar)
-- "while ... -lt 3" = 3 kez dene (network retry)
-- "$ContinentalIc" = obfuscated ikinci değişken
-- SectopRAT: C2 bağlantısı başarısız olursa 3 kez tekrar dener
-- PowerShell retry mantığı → C2 anlık kapalıysa bile bekler

IOC

SHA2564a63b0a172980dff1096950b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
C2locationPhysicians4230.su

SectopRAT — Malware Profile

SectopRAT ArechClient2. GARDEN.ps1 PS loader. locationPhysicians4230.su .su C2. $NeckImport retry 3. Auth token 80 char.

Malware Type
RAT
Programming Language
C#/.NET
C2 Protocol
TCP
Target Systems
Windows
Also Known As (AKA)
ArechClient

Capabilities & Behavior

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC List (1 indicators)

IOC — SectopRAT
# SHA256 4a63b0a172980dff1096950b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
TypeValueNote
sha256 4a63b0a172980dff1096950b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f

C2 Servers (2 recorded servers for this family)

Address Type Port Protocol Status Country
locationphysicians4230.su domain 443 HTTPS inactive —
locationphysicians4230.su domain 443 HTTPS inactive —

C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.

Tags
sectopratarechclient2garden-ps1-powershelllocationphysicians4230-su-c2soviet-su-tldneckimport-retry-loop80-char-auth-tokenbase64-auth-tokenps1-dropper