Silver Fox Grubundan Yeni MODBEACON RAT: gRPC Streaming ile Şifreli C2 Trafiği Siber Güvenlik

Silver Fox Grubundan Yeni MODBEACON RAT: gRPC Streaming ile Şifreli C2 Trafiği

Silver Fox grubu, gRPC streaming ile şifreli C2 trafiği kullanan yeni MODBEACON RAT'ı keşfetti. Rust tabanlı bu trojan, yüksek kaliteli bir C2 framewo

Çin bağlantılı siber suç grubu Silver Fox, yeni bir Rust tabanlı uzaktan erişim trojanı (RAT) olan MODBEACON ile ilişkilendirildi. Çinli siber güvenlik firması QiAnXin, bu tehdit kümesinin düşük karmaşıklıkta ama yüksek aktiviteye sahip bir operasyon gibi görünse de, aslında birden fazla dağıtıcıyı içeren gerçek bir organizasyonel yapıya sahip olduğunu belirtti. Dağıtıcılar, SEO zehirlenmesi teknikleri kullanarak sahte yükleyiciler aracılığıyla Asya genelinde faaliyet gösteriyor ve Gh0st RAT ile WinOS (ValleyRAT) trojan ailelerinin varyantlarını kullanıyor.

Haziran 2026 ortasında gözlemlenen bir kampanyada, bir dağıtıcı daha önce belgelenmemiş modüler bir RAT'ı teknoloji, eğitim ve devlet işletmelerini hedef almak için kullandı. MODBEACON'un komuta ve kontrol (C2) altyapısı Amazon ve Cloudflare'in İçerik Dağıtım Ağı (CDN) üzerinde barındırılıyor. Dağıtıcının, 'siber suçlu silah tüccarı' ve 'trafik komisyoncusu' olarak hareket eden hibrit bir tehdit aktörü olduğu değerlendiriliyor. Faaliyetlerinin bir kolu, dolandırıcılık işleri için günlük SEO operasyonlarıyla Asya'daki enfeksiyon ayak izini genişletirken, diğer kolu gelişmiş trojanları yaymak, değerli erişimi müşterilere kiralamak veya Kamboçya kumar sektörünü hedef alan 'suçlu-suçlu' planları kurmak üzerine odaklanıyor.

Yeni keşfedilen kampanya, sosyal mühendislik, özel yazılım ve sömürü sonrası araçları birleştirerek enfekte sistemlerde tespit edilme riskini en aza indirirken uzun süreli erişim sağlıyor. Bellekte çalışan bu kötü amaçlı yazılım, ek modüller alabilen, operatör komutlarını çalıştırabilen ve saldırgan altyapısıyla şifreli iletişim kurabilen bir uzaktan implant olarak işlev görüyor. QiAnXin, 'Trojan, profesyonel ve özel bir C2 framework'üdür: yükleyici ve beacon ayrılmıştır, yapılandırma enjekte edilebilir, beacon eklenti tabanlı bir mimari kullanır (native-v3 eklentileri ile entry/init/fini RVA) ve iletişim için gRPC tunnel streaming kullanır. Genel mühendislik kalitesi yüksektir. Temel özelliği, açık kaynaklı bir sansür karşıtı proxy framework'ünün (Xray/V2Ray) taşıma katmanını C2 kanalı olarak yeniden kullanmasıdır' açıklamasını yaptı.

Silver Fox saldırı ekosistemine atfedilen önceki kampanyalarda olduğu gibi, saldırı zinciri, popüler yerel yazılımların sahte yükleyicilerini reklam eden sahte alan adlarını kullanarak kullanıcıları kandırıp kötü amaçlı ZIP arşivlerini indirmeye ikna ediyor. MODBEACON'un temel yetenekleri arasında ana bilgisayarı parmak izi olarak tanımlama, eklentileri belleğe yükleme, kalp atışı mesajları gönderme, komut yürütme sonuçlarını raporlama ve zamanlanmış görevler kullanarak kalıcılık sağlama yer alıyor. QiAnXin, 'Bu yetenek, daha sonra isteğe bağlı olarak bilgi hırsızlığı, yanal hareket, proxy yönlendirme veya diğer yükler için kullanılabilir' dedi.

Gelecekte Ne Bekleniyor?

MODBEACON'un dikkat çeken bir özelliği, iletişim katmanında gRPC streaming kullanması. Bu, saldırganın C2 sunucusu ile implant arasındaki trafiği şifreleyerek güvenlik duvarları ve IPS/IDS gibi ağ güvenlik cihazları tarafından tespit edilmesini zorlaştırıyor. Ayrıca Xray/V2Ray gibi sansür karşıtı araçların taşıma katmanını kullanması, trafiğin meşru görünmesini sağlıyor ve geleneksel imza tabanlı tespit yöntemlerini atlatıyor. Bu teknik, özellikle kurumsal ağlarda ve devlet kurumlarında uzun süreli sızmaya olanak tanıyor.

Silver Fox grubunun silah deposu giderek genişliyor; Atlas RAT, ABCDoor, RomulusLoader ve SilentRunLoader gibi kötü amaçlı yazılım ailelerini kullandıkları biliniyor. Bu, tehdit aktörünün taktiklerini sürekli olarak geliştirdiğini gösteriyor. MODBEACON'un keşfi, siber güvenlik ekiplerinin gRPC tabanlı C2 iletişimlerine ve bellek içi implantlara karşı hazırlıklı olması gerektiğini ortaya koyuyor. Kuruluşlar, SEO zehirlenmesi kampanyalarına karşı dikkatli olmalı, yazılım indirmelerini resmi kaynaklardan yapmalı ve ağ trafiğinde şifrelenmiş gRPC akışlarını izlemek için gelişmiş tespit mekanizmaları kullanmalıdır.

Kaynak: thehackernews.com

Paylaş: