Manuel Statik Analiz — NanoCore RAT | Tehdit: YUKSEK

Dosya Kimliği

SHA25613bab9f76e7c622a1075200b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Dosya AdıScan#250226HPJetstar.exe
Boyut1.075.200 byte (1MB)
String Sayisi5.204

HP Yazıcı Tarama Lure

Scan#250226HPJetstar.exe
-- "Scan#250226" = 26 Şubat 2025 tarihli tarama numarası
-- "HP" = Hewlett-Packard yazıcı markası
-- "Jetstar" = HP JetDirect/LaserJet + Jetstar havayolu karışımı (sosyal müh.)
-- Kurumsal ofis ortamında HP yazıcıdan gelen tarama belgesi gibi gösterilmiş
-- Hedef: sekreteer/muhasebe/ofis çalışanları

PDB: Administrator + FqStwIZtCP Build ID

Geliştirici Tespit:
C:\Users\Administrator\Desktop\Client\Temp\FqStwIZtCP\src\obj\Debug\pINX.pdb
-- Kullanıcı: "Administrator" (sysadmin hesabı = geliştirici)
-- "Desktop\Client\" = NanoCore "Client" modülü (RAT clientı!)
-- "FqStwIZtCP" = 10 karakter rastgele string (build ID / temp klasör)
-- "pINX.pdb" = binary adı "pINX" (obfuskated → gerçek ad değil)
-- "obj\Debug\" = Debug build (release/production değil)

Konfigürasyon API'leri

GetConfig   -- NanoCore config okuma
SetConfig   -- NanoCore config yazma
Panel       -- kontrol paneli referansı
K(c2gV / 90C2r / Rs)C2  -- C2 config string fragment'leri

NanoCore Hakkında

NanoCore 2013'te Taylor Huddleston tarafından geliştirilen .NET tabanlı RAT. Yapıcısı 2018'de 33 ay hapis yattı. Plugin mimarisi: keylogger, webcam, remote desktop, credential theft. 2024'te hâlâ aktif — eski codebase, yeni kampanyalar. HP scanner+tarih lure = kurumsal hedef.

IOC

SHA25613bab9f76e7c622a1075200b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
LureScan#250226HPJetstar.exe (HP yazıcı tarama)
PDBC:\Users\Administrator\Desktop\Client\...\FqStwIZtCP\src\obj\Debug\pINX.pdb

NanoCore2 — Malware Profile

NanoCore .NET RAT 2013. HP Jetstar scanner lure. Administrator PDB FqStwIZtCP. Plugin: keylogger webcam credential.

Malware Type
RAT
Programming Language
C#/.NET
C2 Protocol
TCP
Target Systems
Kuresel

Capabilities & Behavior

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC List (1 indicators)

IOC — NanoCore2
# SHA256 13bab9f76e7c622a1075200b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
TypeValueNote
sha256 13bab9f76e7c622a1075200b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 len=63
Tags
nanocorescan-250226-hpjetstarhp-scanner-lureadministrator-pdbfqstwiztcp-build-idpinx-binarygetconfig-setconfighp-printer-lure