Manuel Statik Analiz — DarkGate Loader | Tehdit: YUKSEK

Dosya Kimliği

SHA256a279ff2f21dd7f7d1864834b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Boyut1.864.834 byte (1.8MB)
String Sayisi8.513

Guernsey TLD Domain

8Z9f.gg  -- .gg = Guernsey (İngiliz Kanal Adaları) TLD
-- "8Z9f" = kısa rastgele domain (kolayca kayıt edilebilir)
-- .gg TLD: düşük maliyet, az kontrol, gamer topluluğunda popüler
-- DarkGate C2 için nadir görülen TLD tercih

DarkGate Hakkında

DarkGate, 2018'de geliştirilmiş ama 2023'te kamuya açılarak MaaS modeline geçen çok modüllü loader'dır. RAT, keylogger, hVNC, kripto madencisi ve fidye yazılımı modüllerini tek çatı altında sunar. Microsoft Teams kimlik avı ve email kampanyalarıyla yayılır. RaaS sonrası boşluğu doldurmaya çalışan önemli tehdit.

IOC

SHA256a279ff2f21dd7f7d1864834b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
C28Z9f.gg (.gg Guernsey TLD)

DarkGate — Malware Profile

DarkGate modular loader. .gg TLD C2 preference. 8Z9f.gg. 7z archive delivery. Multi-stage: loader + stealer + RAT.

Malware Type
Loader
Programming Language
Delphi
C2 Protocol
HTTP
Target Systems
Windows

Capabilities & Behavior

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

IOC List (1 indicators)

IOC — DarkGate
# DOMAIN 8z9f.gg
TypeValueNote
domain 8z9f.gg

C2 Servers (1 recorded servers for this family)

Address Type Port Protocol Status Country
8z9f.gg domain 443 HTTPS inactive —

C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.

Tags
darkgategg-tldguernsey-domain8z9f-ggmulti-module-loaderrat-stealer-miner