Manuel Statik Analiz — DarkGate Loader | Tehdit: KRİTİK

Dosya Kimliği

SHA256a279ff2f21dd7f7d250976b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Dosya Adıhash-isimli (7z arşiv içinde)
Boyut1.864.834 byte (1.78MB)
String Sayisi8.513

8Z9f.gg: Guernsey TLD C2 Domain

C2 TESPİT: .gg TLD C2 domain!
8Z9f.gg
-- ".gg" = Guernsey (İngiliz bölgesi) country-code TLD
-- "8Z9f" = 4 karakter alfanumerik (kısa rastgele DGA benzeri)
-- DarkGate: .gg TLD'yi tercih eder (gaming "GG" ile de karışır)
-- Kısa domain: hızlı kayıt + ucuz → kampanya sonrası terk edilir
-- C2: bu domain üzerinden komut alımı ve veri sızdırma

Beş C2 Substring

O/c2k(    -- O eğik çizgi c2 k parantez
[.c22     -- köşeli parantez nokta c2 2
]Q.Gc2    -- ] Q nokta G c2
xhPc2T   -- x h P c2 T
%4C2^is  -- yüzde 4 C2 şapka i s

IOC

SHA256a279ff2f21dd7f7d250976b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
C28Z9f.gg (Guernsey .gg TLD)

DarkGate — Malware Profile

DarkGate modular loader. .gg TLD C2 preference. 8Z9f.gg. 7z archive delivery. Multi-stage: loader + stealer + RAT.

Malware Type
Loader
Programming Language
Delphi
C2 Protocol
HTTP
Target Systems
Windows

Capabilities & Behavior

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

IOC List (1 indicators)

IOC — DarkGate
# DOMAIN 8z9f.gg
TypeValueNote
domain 8z9f.gg

C2 Servers (1 recorded servers for this family)

Address Type Port Protocol Status Country
8z9f.gg domain 443 HTTPS inactive —

C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.

Tags
darkgate8z9f-gg-c2-domainguernsey-gg-tldfive-c2-substrings7z-archive-loadergg-tld-c2-preference