Manuel Statik Analiz — NanoCoreRAT | Tehdit: YUKSEK

Dosya Kimliği

SHA25613bab9f76e7c622a1075200b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Dosya AdıScan#250226HPJetstar.exe (tarih damgalı HP tarayıcı!)
Boyut1.075.200 byte (1.02MB)
String Sayisi5.204

Scan#250226HPJetstar: Tarih Damgalı HP Tarayıcı Lürü

Scan#250226HPJetstar.exe
-- "Scan#" = belge tarama numarası
-- "250226" = 25/02/26 → 26 Şubat 2025 (kampanya tarihi!)
-- "HPJetstar" = HP + Jetstar tarayıcı simulasyonu
  - HP: Hewlett Packard yazıcı/tarayıcı
  - Jetstar: Avustralya havayolu (IT destek sektörü?)
  - Kombine: HP Jetstar model tarayıcısından belge taraması gibi görünür
-- Sosyal mühendislik: IT destek veya muhasebe çalışanı aldatılıyor
-- "exe" uzantısı: tarama yazılımı gibi görünüyor

Administrator\Desktop\Client\pINX.pdb: Geliştirici PDB

GELİŞTİRİCİ: Administrator hesabından NanoCore builder çalıştırılmış!
C:\Users\Administrator\Desktop\Client\Temp\FqStwIZtCP\src\obj\Debug\pINX.pdb
-- "Administrator" = Windows yönetici hesabı kullanılmış
-- "Desktop\Client\" = NanoCore Client build çıktısı masaüstüne
-- "Temp\FqStwIZtCP\" = NanoCore builder'ın geçici dizin adı (rastgele 10 karakter)
  - "FqStwIZtCP" = NanoCore v2.x builder'ın temp dizin pattern'i
-- "pINX.pdb" = gizlenmiş proje adı "pINX"
  - "pINX" = harf değiştirme obfüskasyonu (orijinal isim gizleniyor)
-- NanoCore 2.x: builder her derlemede rastgele temp dizin oluşturur

GetConfig + SetConfig: NanoCore Eklenti API'si

KARAKTERİSTİK: NanoCore plugin architecture!
GetConfig   -- eklenti yapılandırmasını al
SetConfig   -- eklenti yapılandırmasını güncelle
Panel       -- NanoCore UI panel bileşeni
-- GetConfig/SetConfig = NanoCore'un plugin API çerçevesi
-- Her NanoCore plugin: GetConfig ile ayarlarını okur, SetConfig ile yazar
-- Panel: NanoCore GUI framework bileşeni (plugin'ler panel oluşturur)
-- Bu string kombinasyonu = kesin NanoCore kimliği
  - AsyncRAT: HasProperty/SetProperty; njRAT: get_Panel; NanoCore: GetConfig/SetConfig

ZhaoZe DianJi DengGuang: Çince Builder UI

ZhaoZe (Swamp): DianJi Panel fangzhi DengGuang to guide LvKe.
-- Romanize Çince metni: NanoCore builder'ın Çince yerelleştirmesi!
-- "ZhaoZe" (沼泽) = Bataklık/Sulak alan
-- "DianJi" (点击) = Tıkla / Click
-- "fangzhi" (防止) = Önlemek / Prevent
-- "DengGuang" (灯光) = Aydınlatma / Lighting
-- "LvKe" (旅客) = Yolcu / Traveler
-- Türkçe çeviri: "Bataklık: Aydınlatmayı önlemek için Panel'e tıkla ve Yolcuyu yönlendir"
-- Bu metin = NanoCore builder'ın Çince lokalize versiyonu
-- Çin kaynaklı saldırı: NanoCore builder Çince UI ile geliştirilmiş

IOC

SHA25613bab9f76e7c622a1075200b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
PDBC:\Users\Administrator\Desktop\Client\Temp\FqStwIZtCP\src\obj\Debug\pINX.pdb
Plugin APIGetConfig + SetConfig

NanoCoreRAT — Malware Profile

NanoCoreRAT modular plugin-based RAT. GetConfig/SetConfig plugin API. Chinese builder UI. pINX.pdb administrator desktop client build.

Malware Type
RAT
Programming Language
C#/.NET
C2 Protocol
TCP
Target Systems
Küresel

Capabilities & Behavior

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC List (1 indicators)

IOC — NanoCoreRAT
# SHA256 13bab9f76e7c622a1075200b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
TypeValueNote
sha256 13bab9f76e7c622a1075200b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Tags
nanocorenanocore-ratscan-250226-hpjetstar-date-stamped-lureadministrator-desktop-client-pinx-pdbgetconfig-setconfig-plugin-apichinese-zhaoze-dianji-builder-uicostura-fody-embeddeddotnet-rat