Manuel Statik Analiz — ValleyRAT (Silver Fox APT) | Tehdit: YUKSEK

Dosya Kimliği

SHA256de4ca2d0a042ca831943568b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Dosya Adı点击切换简体中文语言包.exe (Çince: "Basitleştirilmiş Çince Dil Paketine Geçmek için Tıklayın")
Boyut1.943.568 byte (1.9MB)
String Sayisi8.459

Çince Dil Paketi Sosyal Mühendislik

Bölgesel Hedefleme: Çin'deki kurumsal kullanıcıları hedef alıyor!
点击切换简体中文语言包.exe
-- 点击切换 = "Geçmek için tıklayın"
-- 简体中文 = "Basitleştirilmiş Çince" (Mainland China)
-- 语言包 = "Dil paketi"
-- Çinli kurumsal kullanıcılar → dil güncelleme indirmesi gibi sunuluyor
-- Silver Fox APT: Çinli finans ve sanayi şirketlerini hedef alıyor

WMI ile Gelişmiş VM Tespiti

wmic path Win32_ComputerSystem get HypervisorPresent
-- WMIC komut satırı aracı çalıştırılıyor!
-- Win32_ComputerSystem.HypervisorPresent = Boolean VM göstergesi
-- True → Hyper-V, VMware, VirtualBox, KVM tespiti
-- GetTickCount + GetTickCount64 → zamanlama tabanlı ek kontrol
-- Hem WMI hem zamanlama = çift katman VM sandbox bypass

Gömülü C++ Kaynak Dosya Adları

handler.cc
manager.cc
receiver.cc
responser.cc
sender.cc
start.cc
-- C++ derleme artifact'ları: kaynak dosya adları binary'ye gömülü
-- ValleyRAT'ın modüler C++ mimarisini ortaya koyuyor:
  handler.cc  = komut işleme modülü
  manager.cc  = bağlantı yönetim modülü
  receiver.cc = veri alma modülü
  responser.cc = yanıt oluşturma modülü
  sender.cc   = veri gönderme modülü
  start.cc    = başlatma/init modülü
-- Tamamen özel yazılmış C++ RAT mimarisi

ValleyRAT / Silver Fox APT Hakkında

ValleyRAT 2023'te Proofpoint tarafından belgelenen Çin kaynaklı RAT'tır. Silver Fox tehdit grubu tarafından kullanılır. Çinli şirket çalışanlarına yönelik hedefli kimlik avı e-postaları ile yayılır. Modüler yapı: ana yük + ek plugin modülleri indirilir. Keylogging, screenshot, dosya hırsızlığı ve uzaktan kod yürütme özellikleri vardır.

IOC

SHA256de4ca2d0a042ca831943568b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Kılık点击切换简体中文语言包.exe (Çince dil paketi)

ValleyRAT — Malware Profile

ValleyRAT Çin APT RAT. Cince hedefleme. WMIC HypervisorPresent VM tespit. surrogate pair dogrulama.

Malware Type
RAT
Programming Language
C++
C2 Protocol
HTTP
Target Systems
Windows

Capabilities & Behavior

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC List (6 indicators)

IOC — ValleyRAT
# DOMAIN handler.cc # DOMAIN manager.cc # DOMAIN receiver.cc # DOMAIN responser.cc # DOMAIN sender.cc # DOMAIN start.cc
TypeValueNote
domain handler.cc
domain manager.cc
domain receiver.cc
domain responser.cc
domain sender.cc
domain start.cc
Tags
valleyratchinese-language-pack-disguisewmi-hypervisorpresentwmi-vm-detectsilver-fox-apthandler-cc-source-fileschinese-targeting