Manuel Statik Analiz — XWorm (VBS Dropper) | Tehdit: YUKSEK

Dosya Kimliği

SHA256fe4a930a99df7e321579750b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Dosya AdıSHN2026000000026.vbs
Boyut1.579.750 byte (1.6MB VBS dosyası)
String Sayisi13.171

Sıralı VBS Teslimat Adlandırması

SHN2026000000026.vbs
-- "SHN" = Shipment Number / Sevkiyat Numarası!
-- "2026" = 2026 yılı (kampanya yılı)
-- "000000026" = sıralı hedef/kurban ID'si (26. hedef!)
-- Sevkiyat belgesi kisvesiyle email eki
-- Her hedefe farklı numara → kurban takibi

Rusça C2 Domain

neuroprostheses.Ru
-- "neuroprosthetics" (nöroprotezler) = tıbbi alandaki meşru terim
-- .Ru = Rusya TLD (Rus operatör teyidi!)
-- Meşru tıp araştırması kisvesi → domain engeli zor
-- Nöroprostez araştırma kurumu maskeleme stratejisi

IOC

SHA256fe4a930a99df7e321579750b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
C2neuroprostheses.Ru (.Ru TLD)
TeslimatSHN2026000000026.vbs (sevkiyat numaralı VBS)

XWorm2 — Malware Profile

XWorm .NET 2022 TurkoRat forum. SHN2026 VBS delivery. neuroprostheses.Ru C2. Keylogger+clipboard+RAT. AveStealer base.

Malware Type
RAT
Programming Language
VBScript/.NET
C2 Protocol
TCP
Target Systems
LATAM/Ispanya

Capabilities & Behavior

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC List (1 indicators)

IOC — XWorm2
# DOMAIN neuroprostheses.ru
TypeValueNote
domain neuroprostheses.ru

C2 Servers (1 recorded servers for this family)

Address Type Port Protocol Status Country
neuroprostheses.ru domain 443 HTTPS inactive —

C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.

Tags
xwormshn2026-vbsneuroprostheses-rurussian-c2ru-tldvbs-deliverysequential-filename