Manuel Statik Analiz — StormKitty | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | 9619a5ea45bf679c1704256b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Boyut | 1.704.256 byte (1.7MB) |
| String Sayisi | 1.745 (ToxicEye ile aynı!) |
Tehdit Aktörü Bağlantısı: "vagan" Geliştirici
ACTOR ATTRIBUTION: ToxicEye ile aynı geliştirici!
C:\Users\vagan\OneDrive\ -- PDB yolu (ToxicEye ile AYNI!) -- "vagan" kullanıcı adı hem StormKitty hem ToxicEye'da mevcut -- Aynı geliştirme ortamı: OneDrive, aynı proje yapısı -- Tek geliştirici iki farklı stealer/RAT üretti
Aynı Telegram Bot Token Paylaşımı!
CANLI TESPİT: Önceki ToxicEye token'ı burada da!
https://api.telegram.org/bot5245693641:AAF7eZrRjdXCkx-zaq0R9OGO7Zy2XnOizLQ/getUpdates -- AYNI BOT TOKEN: 5245693641:AAF7eZrRjdXCkx-zaq0R9OGO7Zy2XnOizLQ -- Daha önce ToxicEye/TelegramRAT analizinde de tespit edilmişti! -- "vagan" → ToxicEye ve StormKitty ikisini de aynı Telegram botu üzerinden yönetiyor -- Tek bot = çoklu enfeksiyon yönetimi
WM_KEYDOWN: Keylogger Hook
WM_KEYDOWN -- Windows mesajı: tuş basma olayı -- SetWindowsHookEx(WH_KEYBOARD_LL) → WM_KEYDOWN yakalama -- StormKitty = StealerRAT + Keylogger kombinasyonu -- ToxicEye'da görmediğimiz ek özellik: aktif klavye izleme -- 3162D5D5638BBF501FD80751C662910 = konfigürasyon token (ToxicEye ile aynı!)
IOC
| SHA256 | 9619a5ea45bf679c1704256b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Bot Token | 5245693641:AAF7eZrRjdXCkx-zaq0R9OGO7Zy2XnOizLQ (ToxicEye ile aynı!) |
| Geliştirici | vagan (ToxicEye ile aynı aktör) |
StormKitty — Malware Profile
StormKitty vagan gelistirici ToxicEye ile ayni. 5245693641 bot token paylaşımı. WM_KEYDOWN keylogger. Telegram C2.
Malware Type
Infostealer
Programming Language
VB6
C2 Protocol
HTTP
Target Systems
Kuresel
Capabilities & Behavior
Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı
IOC List (2 indicators)
IOC — StormKitty
# SHA256
9619a5ea45bf679c1704256b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
# DOMAIN
telegram.org
| Type | Value | Note |
|---|---|---|
| sha256 | 9619a5ea45bf679c1704256b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f | |
| domain | telegram.org |