De aan China gelinkte cybercriminaliteitsgroep, bekend als Zilveren Vos is toegeschreven aan een nieuwe op Rust gebaseerde trojan voor externe toegang (RAR), genaamd MODBEACON.
Het Chinese cyberbeveiligingsbedrijf QiAnXin zei dat hoewel het dreigingscluster misschien lijkt op een weinig geavanceerde, zeer actieve operatie die malware verspreidt via namaakinstallatieprogramma’s met behulp van SEO-vergiftigingstechnieken, het in strijd is met hun ware organisatiestructuur, die meerdere distributeurs in gevaar brengt.
“Deze distributeurs voeren activiteiten uit in heel Azië met behulp van valse software-installatieprogramma’s die worden verspreid via SEO-campagnes, waarbij gebruik wordt gemaakt van varianten van de Gh0st RAT- en WinOS (ValleyRAT) trojan-families”, aldus QiAnXin.
Bij een van die campagnes die medio juni 2026 werd waargenomen, was een distributeur betrokken die een voorheen ongedocumenteerde modulaire RAT leverde, gericht op technologie, onderwijs en staatsbedrijven in het land. De gevraagde command-and-control (C2) infrastructuur van MODBEACON wordt gehost op het Content Delivery Network (CDN) van Amazon en Cloudflare.
De distributeur wordt beschouwd als een hybride dreigingsacteur, die optreedt als een samenstelling van ‘cybercriminele wapenhandelaars’ en ‘verkeersmakelaar’. Eén tak van haar activiteiten omvat het uitbreiden van de besmettingsvoetafdruk in heel Azië door middel van dagelijkse SEO-operaties voor fraudezaken, terwijl de andere zich richt op het verspreiden van geavanceerde trojans, of het verhuren van hoogwaardige toegang aan downstream-klanten, of het opzetten van ‘criminal-on-criminal’-programma’s gericht op de Cambodjaanse goksector.
De nieuw ontdekte campagne combineert social engineering, aangepaste malware en post-compromistools om langdurige toegang tot stand te brengen en tegelijkertijd de detectie op geïnfecteerde hosts te minimaliseren. De geheugenresidente malware functioneert als een extern implantaat dat extra modules kan ophalen, operatoropdrachten kan uitvoeren en gecodeerde communicatie met de infrastructuur van de aanvaller kan onderhouden.
“De Trojan is een professioneel en privé C2-framework: de lader en het baken zijn gescheiden, de configuratie is injecteerbaar, het baken maakt gebruik van een op plug-ins gebaseerde architectuur (native-v3-plug-ins met entry/init/fini RVA) en het gebruikt gRPC-tunnelstreaming voor communicatie”, legt QiAnXin uit. “De algehele technische kwaliteit is hoog. Het belangrijkste hoogtepunt is het hergebruik van de transportlaag van een open-source anti-censuur proxy-framework (Xray/V2Ray) als C2-kanaal.”
Net als eerdere campagnes die worden toegeschreven aan het Silver Fox-inbraak-ecosysteem, maakt de aanvalsketen gebruik van nagemaakte domeinen waarin reclame wordt gemaakt voor nep-installatieprogramma’s voor populaire binnenlandse software als lokmiddel om nietsvermoedende gebruikers te misleiden zodat ze kwaadaardige ZIP-archieven downloaden die verantwoordelijk zijn voor het inzetten van de malware.
De kernmogelijkheden van MODBEACON omvatten:
- Vingerafdrukken van de host
- Plug-ins in het geheugen laden
- Heartbeat-berichten verzenden
- Rapporteren van de resultaten van de uitvoering van opdrachten
- Doorzettingsvermogen instellen met behulp van geplande taken
“Deze mogelijkheid kan worden gebruikt voor daaropvolgende on-demand uitbreiding van informatiediefstal, laterale verplaatsing, proxy forwarding of andere payloads”, aldus QiAnXin.
De onthulling komt te midden van een geleidelijke verbreding van het arsenaal van Silver Fox, dat malwarefamilies heeft ingezet die worden gevolgd als Atlas RAT, ABCDoor, RomulusLoader en SilentRunLoader, wat aangeeft dat de bedreigingsacteur zijn vak actief aan het verfijnen is.