Manuel Statik Analiz — DarkGate Loader | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | a279ff2f21dd7f7d1864834b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Boyut | 1.864.834 byte (1.8MB) |
| String Sayisi | 8.513 |
Guernsey TLD Domain
8Z9f.gg -- .gg = Guernsey (İngiliz Kanal Adaları) TLD -- "8Z9f" = kısa rastgele domain (kolayca kayıt edilebilir) -- .gg TLD: düşük maliyet, az kontrol, gamer topluluğunda popüler -- DarkGate C2 için nadir görülen TLD tercih
DarkGate Hakkında
DarkGate, 2018'de geliştirilmiş ama 2023'te kamuya açılarak MaaS modeline geçen çok modüllü loader'dır. RAT, keylogger, hVNC, kripto madencisi ve fidye yazılımı modüllerini tek çatı altında sunar. Microsoft Teams kimlik avı ve email kampanyalarıyla yayılır. RaaS sonrası boşluğu doldurmaya çalışan önemli tehdit.
IOC
| SHA256 | a279ff2f21dd7f7d1864834b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| C2 | 8Z9f.gg (.gg Guernsey TLD) |
DarkGate — Malware Profile
DarkGate modular loader. .gg TLD C2 preference. 8Z9f.gg. 7z archive delivery. Multi-stage: loader + stealer + RAT.
Malware Type
Loader
Programming Language
Delphi
C2 Protocol
HTTP
Target Systems
Windows
Capabilities & Behavior
Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı
IOC List (1 indicators)
IOC — DarkGate
# DOMAIN
8z9f.gg
| Type | Value | Note |
|---|---|---|
| domain | 8z9f.gg |
C2 Servers (1 recorded servers for this family)
| Address | Type | Port | Protocol | Status | Country |
|---|---|---|---|---|---|
| 8z9f.gg | domain | 443 | HTTPS | inactive | — |
C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.