MODBEACON RAT: Çin Bağlantılı Silver Fox Grubunun Yeni Nesil gRPC Tabanlı Kötü Amaçlı Yazılımı Yazılım

MODBEACON RAT: Çin Bağlantılı Silver Fox Grubunun Yeni Nesil gRPC Tabanlı Kötü Amaçlı Yazılımı

Çin bağlantılı Silver Fox grubunun yeni Rust tabanlı MODBEACON RAT'ı, gRPC akışı ile şifreli C2 iletişimi kullanarak teknoloji, eğitim ve devlet kurum

Siber güvenlik dünyası, Çin bağlantılı Silver Fox siber suç grubunun yeni nesil uzaktan erişim trojanı (RAT) MODBEACON ile sarsıldı. QiAnXin tarafından keşfedilen bu Rust tabanlı kötü amaçlı yazılım, gRPC akış protokolünü kullanarak şifreli komuta ve kontrol (C2) trafiği oluşturuyor. Grup, görünüşte düşük karmaşıklığa sahip gibi görünse de, aslında çok katmanlı bir organizasyon yapısına sahip ve birden fazla dağıtıcı aracılığıyla faaliyet gösteriyor.

MODBEACON, SEO zehirleme teknikleri kullanarak sahte yazılım yükleyicileri aracılığıyla yayılıyor. Özellikle Asya'da teknoloji, eğitim ve devlet işletmelerini hedef alan bu kampanya, Haziran 2026 ortasında tespit edildi. Dağıtıcılar, Gh0st RAT ve WinOS (ValleyRAT) ailesinin varyantlarını kullanarak geniş bir coğrafyada etkinlik gösteriyor. MODBEACON'un C2 altyapısı ise Amazon ve Cloudflare CDN üzerinde barındırılıyor.

QiAnXin'in analizine göre, MODBEACON'un dağıtıcısı hibrit bir tehdit aktörü olarak değerlendiriliyor. Bir yandan SEO operasyonlarıyla Asya'da enfeksiyon yayarken, diğer yandan gelişmiş trojanları yayıyor veya yüksek değerli erişimleri alt müşterilere kiralıyor. Ayrıca, Kamboçya kumar sektörüne yönelik 'suçlu-suçlu' düzenekleri kurduğu da gözlemleniyor.

Detaylar ve Etkileri

MODBEACON'un teknik özellikleri oldukça dikkat çekici. Bellek içi çalışan bu trojan, eklenti tabanlı bir mimari kullanıyor. Yükleyici ve beacon ayrılmış durumda; yapılandırma enjekte edilebiliyor ve eklentiler native-v3 formatında. En önemlisi, iletişim katmanı olarak açık kaynaklı sansür karşıtı proxy framework'ü Xray/V2Ray'in taşıma katmanını yeniden kullanıyor. Bu sayede gRPC tünel akışı ile şifreli ve gizli iletişim sağlanıyor.

Gelecekte Ne Bekleniyor?

Trojanın temel yetenekleri arasında sistem parmak izi toplama, bellek içi eklenti yükleme, kalp atışı mesajları gönderme, komut çıktılarını raporlama ve zamanlanmış görevlerle kalıcılık sağlama bulunuyor. QiAnXin, bu yeteneklerin bilgi hırsızlığı, yanal hareket, proxy yönlendirme veya diğer yükler için kullanılabileceğini belirtiyor. MODBEACON, profesyonel ve özel bir C2 framework'ü olarak tanımlanıyor.

Uzmanların Görüşleri

Silver Fox grubunun silah cephaneliği giderek genişliyor. Atlas RAT, ABCDoor, RomulusLoader ve SilentRunLoader gibi tehdit ailelerini kullanan grup, sürekli olarak taktiklerini geliştiriyor. MODBEACON'un keşfi, siber suç gruplarının giderek daha karmaşık ve modüler araçlar kullandığını gösteriyor. Kullanıcıların, resmi olmayan kaynaklardan yazılım indirmemesi ve SEO zehirleme saldırılarına karşı dikkatli olması önem taşıyor.

Kaynak: thehackernews.com

Paylaş: