Manuel Statik Analiz — ValleyRAT (Çin APT) | Tehdit: KRITIK

Dosya Kimliği

SHA256f4541e8a44142832fc0179026906e9f19c3dbcffcb2e5a8d1b4c7f0e3a6b9d2f
Dosya Adıexplorer.exe (Windows Gezgini taklidi!)
Boyut171.640 byte
String Sayisi925

explorer.exe Kamuflajı

Tehlike: Windows Explorer çalıştırılabilir dosyasını taklit eder. İşlem listesinde meşru gibi görünür.

Registry Kalıcılığı

RegCreateKeyW   -- Registry oluşturma/kalıcılık
RegOpenKeyExW   -- Registry okuma (mevcut kalıcılık kontrol)
RegSetValueExW  -- Registry değer yazma

ValleyRAT Hakkında

ValleyRAT, Silver Fox APT (Çin menşeli) tarafından geliştirildiği değerlendirilen C++ tabanlı RAT ailesidir. Finansal sektörü hedef alan spear-phishing kampanyalarında kullanılmıştır. çoklu aşamalı yükleme (dropper → loader → RAT), shellcode çalıştırma ve keylogging yetenekleri içerir.

IOC

SHA256f4541e8a44142832fc0179026906e9f19c3dbcffcb2e5a8d1b4c7f0e3a6b9d2f
Kamuflajexplorer.exe (Windows Gezgini)

ValleyRAT — Malware Profile

ValleyRAT Çin APT RAT. Cince hedefleme. WMIC HypervisorPresent VM tespit. surrogate pair dogrulama.

Malware Type
RAT
Programming Language
C++
C2 Protocol
HTTP
Target Systems
Windows

Capabilities & Behavior

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC List (1 indicators)

IOC — ValleyRAT
# SHA256 f4541e8a44142832fc0179026906e9f19c3dbcffcb2e5a8d1b4c7f0e3a6b9d2f
TypeValueNote
sha256 f4541e8a44142832fc0179026906e9f19c3dbcffcb2e5a8d1b4c7f0e3a6b9d2f
Tags
valleyrataptexplorer-kamuflajregistrycin-apt