Manuel Statik Analiz — StormKitty | Tehdit: YUKSEK

Dosya Kimliği

SHA2569619a5ea45bf679c1704256b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Boyut1.704.256 byte (1.7MB)
String Sayisi1.745 (ToxicEye ile aynı!)

Tehdit Aktörü Bağlantısı: "vagan" Geliştirici

ACTOR ATTRIBUTION: ToxicEye ile aynı geliştirici!
C:\Users\vagan\OneDrive\  -- PDB yolu (ToxicEye ile AYNI!)
-- "vagan" kullanıcı adı hem StormKitty hem ToxicEye'da mevcut
-- Aynı geliştirme ortamı: OneDrive, aynı proje yapısı
-- Tek geliştirici iki farklı stealer/RAT üretti

Aynı Telegram Bot Token Paylaşımı!

CANLI TESPİT: Önceki ToxicEye token'ı burada da!
https://api.telegram.org/bot5245693641:AAF7eZrRjdXCkx-zaq0R9OGO7Zy2XnOizLQ/getUpdates
-- AYNI BOT TOKEN: 5245693641:AAF7eZrRjdXCkx-zaq0R9OGO7Zy2XnOizLQ
-- Daha önce ToxicEye/TelegramRAT analizinde de tespit edilmişti!
-- "vagan" → ToxicEye ve StormKitty ikisini de aynı Telegram botu üzerinden yönetiyor
-- Tek bot = çoklu enfeksiyon yönetimi

WM_KEYDOWN: Keylogger Hook

WM_KEYDOWN
-- Windows mesajı: tuş basma olayı
-- SetWindowsHookEx(WH_KEYBOARD_LL) → WM_KEYDOWN yakalama
-- StormKitty = StealerRAT + Keylogger kombinasyonu
-- ToxicEye'da görmediğimiz ek özellik: aktif klavye izleme
-- 3162D5D5638BBF501FD80751C662910 = konfigürasyon token (ToxicEye ile aynı!)

IOC

SHA2569619a5ea45bf679c1704256b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Bot Token5245693641:AAF7eZrRjdXCkx-zaq0R9OGO7Zy2XnOizLQ (ToxicEye ile aynı!)
Geliştiricivagan (ToxicEye ile aynı aktör)

StormKitty — Malware Profile

StormKitty vagan gelistirici ToxicEye ile ayni. 5245693641 bot token paylaşımı. WM_KEYDOWN keylogger. Telegram C2.

Malware Type
Infostealer
Programming Language
VB6
C2 Protocol
HTTP
Target Systems
Kuresel

Capabilities & Behavior

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

IOC List (2 indicators)

IOC — StormKitty
# SHA256 9619a5ea45bf679c1704256b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f # DOMAIN telegram.org
TypeValueNote
sha256 9619a5ea45bf679c1704256b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
domain telegram.org
Tags
stormkittyvagan-pdb-same-developertoxiceye-connectionshared-bot-token-5245693641wm-keydown-keyloggertelegram-c2-sharedsame-actor