O grupo de cibercrime ligado à China conhecido como Silver Fox foi associado a um novo trojan de acesso remoto baseado em Rust, chamado MODBEACON.
A empresa chinesa de cibersegurança QiAnXin afirmou que, embora esse agrupamento de ameaças possa parecer uma operação de baixa sofisticação e alta atividade, que espalha malware por meio de instaladores falsos com técnicas de envenenamento de SEO, a realidade é mais complexa.
Segundo a companhia, a estrutura organizacional envolve vários distribuidores.
“Esses distribuidores realizam atividades em toda a Ásia usando instaladores de software falsificados distribuídos por campanhas de SEO, explorando variantes das famílias de trojans Gh0st RAT e WinOS (ValleyRAT)”, disse a QiAnXin.
Uma dessas campanhas, observada em meados de junho de 2026, envolveu um distribuidor que entregava um RAT modular até então não documentado e voltado aos setores de tecnologia, educação e empresas estatais no país.
A infraestrutura de comando e controle (C2) usada pelo MODBEACON está hospedada na Amazon e na Content Delivery Network (CDN) da Cloudflare.
A avaliação é de que o distribuidor seja um threat actor híbrido, atuando como uma combinação de “traficante de ferramentas cibernéticas” e “corretor de tráfego”.
Uma parte da operação busca ampliar sua base de infecção pela Ásia por meio de ações diárias de SEO para negócios fraudulentos.
A outra se concentra em disseminar trojans avançados, alugar acesso valioso para clientes subsequentes ou estruturar esquemas de “criminoso contra criminoso” voltados ao setor de jogos de azar no Camboja.
A campanha recém-descoberta combina engenharia social, malware personalizado e ferramentas pós-comprometimento para estabelecer acesso de longo prazo e reduzir a detecção em máquinas infectadas.
O malware residente na memória funciona como um implante remoto capaz de buscar módulos adicionais, executar comandos do operador e manter comunicações criptografadas com a infraestrutura do atacante.
“O trojan é uma estrutura profissional e privada de C2: o loader e o beacon são separados, a configuração pode ser injetada, o beacon usa uma arquitetura baseada em plugin com plugins native-v3 e pontos de entrada, inicialização e finalização, e emprega streaming de túnel gRPC para comunicação”, explicou a QiAnXin.
“A qualidade geral da engenharia é alta.
Seu principal destaque é a reutilização da camada de transporte de um framework open source de proxy anti-censura, o Xray/V2Ray, como canal de C2.”
Assim como em campanhas anteriores atribuídas ao ecossistema de intrusão Silver Fox, a cadeia de ataque usa domínios falsos que anunciam instaladores fraudulentos de softwares populares no mercado doméstico como isca para induzir usuários desavisados a baixar arquivos ZIP maliciosos responsáveis por implantar o malware.
As principais capacidades do MODBEACON incluem:
- identificação da máquina hospedeira
- carregamento de plugins na memória
- envio de mensagens de heartbeat
- reporte dos resultados da execução de comandos
- configuração de persistência por meio de tarefas agendadas
“Essa capacidade pode ser usada para ampliações posteriores sob demanda, como roubo de informações, movimentação lateral, encaminhamento por proxy ou outros payloads”, disse a QiAnXin.
A divulgação ocorre em meio à expansão gradual do arsenal do Silver Fox, que já empregou famílias de malware identificadas como Atlas RAT, ABCDoor, RomulusLoader e SilentRunLoader, sinalizando que o threat actor vem refinando ativamente suas técnicas.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...