Manuel Statik Analiz (LLM Okumali) — STRRAT v5 Java RAT | Tehdit: YUKSEK

Dosya Kimligi

SHA2569b160425fb2a2d6cd125509bface7b506430a35efa2dd34ffb2e9b15b3b6a5c7
Orijinal AdShipping Bill2008581 dated01042026.pdf.zip (ZIP icinde .jar)
JAR AdShipping Bill2008581 dated01042026.pdf.jar
Boyut63.596 byte (.jar)
DilJava — cross-platform RAT

Teslimat Vektoru — Nakliye Faturasi PDF Kimlik Avı

Dosya, 2008581 numarali nakliye faturasi (01.04.2026 tarihli) olarak sunulmaktadir. Cift uzantili dosya adi (*.pdf.jar) ile kurbanlar bir PDF belgesi actıklarını sanirken aslinda bir Java uygulamasini calistirmaktadirlar. Bu teknik lojistik ve ihracat sektorlerini hedef alan STRRAT kampanyalarinda sikca kullanilmaktadir.

Teknik Analiz — kingDavid JAR Paketi

JAR dosyasi icerisinde kingDavid/ adli bir paket yapisi bulunmaktadir. Bu paket adi gelistirici tarafindan secilmis ve bu ornege ozgü bir IOC'dur. Java class dosyalari caesium_XX.class isimlendirme duzeninde obfuskasyona ugramistir (STRRAT v5 standart obfuskasyon modeli):

kingDavid/9.class/caesium_27.classc
kingDavid/3.class/caesium_25.classc
kingDavid/10.class/caesium_27.classc
kingDavid/41.class/caesium_31.classc

C2 Altyapisi

STRRAT v5 C2 host/port bilgisini sifreli bir String olarak JAR icerisinde saklar. Statik analizde cleartext C2 gorunmemektedir; ancak runtime'da Java SecretKeyFactory veya AES ile cozer. STRRAT'in bilinen C2 portlari: 1033 veya 1234.

Bilinen STRRAT Yetenekleri

  • Uzaktan komut yürütme (Java ProcessBuilder)
  • Keylogger
  • Ransomware modulu (dosya sifrelemesi .crimson uzantisi)
  • Kimlik bilgileri calma: tarayici, Outlook, FileZilla
  • Ekran goruntüsü
  • Cross-platform (Windows, Linux, macOS — Java Runtime ile)

IOC

SHA2569b160425fb2a2d6cd125509bface7b506430a35efa2dd34ffb2e9b15b3b6a5c7
DosyaShipping Bill2008581 dated01042026.pdf.jar
JAR PaketikingDavid/
C2Sifrelenmis (Java runtime, port 1033/1234)

Nasil Kaldirilir?

  1. .jar uzantili dosyalar calistirilmasin (cift uzantiya dikkat)
  2. Java Runtime ortaminda cesitli .class dosyalari aransin
  3. Kullanilmayan Java kurulumlarinin kaldirilmasi onerilir

STRRAT — Malware Profile

STRRAT Java 2020 MaaS $80/ay. RFQ.js 849KB 41 string max obfuski. .crimson dosya uzantisi taklit. Office dropper.

Malware Type
RAT
Programming Language
Java
C2 Protocol
TCP (1033/1234)
Target Systems
Kuresel

Capabilities & Behavior

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC List (1 indicators)

IOC — STRRAT
# SHA256 9b160425fb2a2d6cd125509bface7b506430a35efa2dd34ffb2e9b15b3b6a5c7
TypeValueNote
sha256 9b160425fb2a2d6cd125509bface7b506430a35efa2dd34ffb2e9b15b3b6a5c7
Tags
strratjava-ratjar-filepdf-phishingshipping-billnakliye-faturasijava-based