Manuel Statik Analiz (LLM Okumali) — CrimsonRAT ISO Dropper | Tehdit: KRITIK
APT36 Kampanyasi Tespit Edildi
Bu ornek, APT36 (Transparent Tribe) tarafindan Hindistan merkezli duyu tank kuruluslarina (ICWA — Indian Council of World Affairs) yonelik hedefli bir siber saldiri kampanyasinin parcasidir. Haziran 2026 tarihli lure dosyasi, aktif kampanya oldugunu dogrulamaktadir.

Arquivo Kimligi

SHA2568690354fb8a8e640e586b8022392aef9bd58519e4aa9c70f697b82db74ba7d61
Orijinal AdInvitation-Letter-Fazel-Mumbai-House-ICWA-Jun-2026.iso
Tamanho4.784.128 byte (~4.5 MB)
FormatISO 9660 CD-ROM imaji

Teslimat Vektoru — ICWA Davet Mektubu Sahteligi

ISO dosyasi, Haziran 2026 tarihli ICWA (Indian Council of World Affairs) davet mektubu olarak sunulmaktadir. Bu tur hedefli phishing (spear-phishing) APT36'nin Hindistanli savunma ve dis politika personeline yonelik tipik TTL'leriyle (Taktik, Teknik, Prosedur) uyumludur. "Fazel Mumbai House" referansi somut bir sosyal muhendislik bilesenini gostermektedir.

Teknik Analiz — Zarli ISO Icerigi

ISO icindeki dosyalar: TLauncher.exe (Minecraft launcher kili#62;), ImgBurn kurulumu, ve C:\ProgramData\z olarak birakilan CrimsonRAT payload.

Tespit Edilen Komutlar (Binary String)

powershell Unblock-File -Path "C:\ProgramData\z"
mklink /h "%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\TLauncher.exe" "C:\ProgramData\z" >nul
start "" "%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\TLauncher.exe" && EXIT

Analiz Adim Adim

  1. ISO Bağlanir: Kurban ISO'yu tıklar, Windows otomatik olarak bağlar.
  2. TLauncher kili#62;: Kurban meşru bir Minecraft launcher sandığını düsünür.
  3. PowerShell Bypass: Unblock-File komutu ile indirme engeli kaldirilir.
  4. Kalicilik: C:\ProgramData\z adli payload, Startup klasorune TLauncher.exe adi altinda sabit baglanti (hard link) olarak eklenir.
  5. Yürütme: Payload calistirilir ve sistem yeniden baslatildiginda da otomatik olarak calisir.

C2 Altyapisi

CrimsonRAT C2 URL'si binary icerisinde sifreli olarak saklanmaktadir. ISO icindeki TLauncher bileseninden http://java-for-minecraft.com/ URL'si tespit edilmis; bu adres Java kurulumu rehber linki olarak kullanilmaktadir. Asil CrimsonRAT C2 endpoint'i statik analizde gorunur degildir.

IOC

SHA2568690354fb8a8e640e586b8022392aef9bd58519e4aa9c70f697b82db74ba7d61
ISO AdiInvitation-Letter-Fazel-Mumbai-House-ICWA-Jun-2026.iso
Payload YoluC:\ProgramData\z
Kalicilik Yolu%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\TLauncher.exe
PowerShell KomutuUnblock-File -Path "C:\ProgramData\z"
C2Sifrelenmis (dinamik analiz gerekli)
Hedef KurumICWA — Hindistan dis politika think-tank

Bilinen CrimsonRAT Yetenekleri

  • Tam uzaktan erisim (dosya yonetimi, komut yürütme)
  • Ekran goruntüsü alma
  • Keylogger
  • Tarayici kimlik bilgileri calma
  • Arquivo yükleme/indirme
  • Process yonetimi

Nasil Kaldirilir?

  1. %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\ altindaki TLauncher.exe silinsin
  2. C:\ProgramData\z dosyasi silinsin
  3. Registry Run key'leri kontrol edilsin
  4. Guncel AV taramasi yapilsin

CrimsonRAT — Perfil do malware

CrimsonRAT APT36 Transparent Tribe Pakistan 2017. ICWA Mumbai Hindistan diplomatik lure. java-for-minecraft.com. .NET+Delphi.

Tipo de malware
RAT
Linguagem de programação
.NET
Protocolo C2
TCP
Sistemas-alvo
Hindistan, Pakistan — hukumet, savunma, think-tank

Capacidades e comportamento

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

Lista IOC (1 indicadores)

IOC — CrimsonRAT
# SHA256 8690354fb8a8e640e586b8022392aef9bd58519e4aa9c70f697b82db74ba7d61
TipoValorNota
sha256 8690354fb8a8e640e586b8022392aef9bd58519e4aa9c70f697b82db74ba7d61

Servidores C2 (2 servidores registrados para esta família)

Endereço Tipo Porta Protocolo Status País
java-for-minecraft.com domain 80 HTTP active —
java-for-minecraft.com domain 80 HTTP active —

Os endereços C2 são fornecidos apenas a partir de amostras de malware verificadas manualmente pela equipe KEYDAL. O uso comercial é proibido.

Tags
crimsonratapt36iso-droppertlauncher-lurepowershell-bypassindia-targetaptsaldiriicwa