Manuel Statik Analiz — ToxicEye (TelegramRAT) | Tehdit: YUKSEK

Dosya Kimliği

SHA256294e5efb8db8a8e1114176b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Dosya AdıTelegramRAT.bin → d4f83c4c81c9ace8.exe (kendini açıklayan isim!)
Boyut114.176 byte (114KB)
String Sayisi1.745

GERÇEK Telegram Bot Token!

CANLI IOC: Telegram bot token açık metin!
https://api.telegram.org/bot5245693641:AAF7eZrRjdXCkx-zaq0R9OGO7Zy2XnOizLQ/getUpdates
-- Bot ID: 5245693641
-- Token: AAF7eZrRjdXCkx-zaq0R9OGO7Zy2XnOizLQ
-- /getUpdates = long-polling ile komut alma (her 30 saniyede bir)
-- ToxicEye C2 kanalı: Telegram → saldırgan bot sahibi → kurban mesaj alıyor
-- Telegram bloke edilmediği için kurumsal güvenlik duvarları geçiliyor!
-- Token ile bot devre dışı bırakılabilir: Telegram @BotFather → revoke token

Geliştirici: vagan

C:\Users\vagan\OneDrive\
-- Kullanıcı adı: "vagan" (Ermeni/Rus ismi)
-- OneDrive kullanıyor: Microsoft hesabı mevcut
-- OneDrive\: proje dosyaları OneDrive'da = cloud geliştirme ortamı

WiFi Geolocation + Victim Profiling

https://api.mylnikov.org/geolocation/wifi  -- WiFi access point geolocation!
http://ip-api.com/json/                    -- IP tabanlı konum
GetHWID                                    -- Donanım ID toplama
GetDefaultGateway                          -- Ağ topoloji tespiti
-- ToxicEye kurban profilini oluşturuyor:
  1. WiFi AP → fiziksel konum (IP'den daha kesin!)
  2. IP → ISP/şehir/ülke
  3. HWID → benzersiz makina tanımlayıcı
  4. Default Gateway → ağ altyapısı

Sandbox/VM Tespiti

inSandboxie    -- Sandboxie konteyner tespiti
Sandboxie:     -- Sandboxie string
vmware         -- VMware VM kontrolü

IOC

SHA256294e5efb8db8a8e1114176b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Bot Token5245693641:AAF7eZrRjdXCkx-zaq0R9OGO7Zy2XnOizLQ
PDBC:\Users\vagan\OneDrive\

TelegramRAT — Malware Profile

ToxicEye TelegramRAT .NET. Telegram bot C2 getUpdates polling. WiFi geoloc API. vagan gelistirici. Sandboxie vmware detect.

Malware Type
RAT
Programming Language
C#/.NET
C2 Protocol
Telegram API
Target Systems
Küresel

Capabilities & Behavior

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC List (1 indicators)

IOC — TelegramRAT
# 5245693641:AAF7eZrRjdXCkx-zaq0R9OGO7Zy2XnOizLQ
TypeValueNote
5245693641:AAF7eZrRjdXCkx-zaq0R9OGO7Zy2XnOizLQ
Tags
toxiceyetelegramrat-bintelegram-bot-5245693641aaf7ezr-bot-tokengetUpdates-c2vagan-pdbwifi-geolocation-apiinsandboxiesandbox-detectgethwid