Çin bağlantılı siber suç grubu Silver Fox, yeni bir Rust tabanlı uzaktan erişim trojanı (RAT) olan MODBEACON ile ilişkilendirildi. Çinli siber güvenlik şirketi QiAnXin, tehdit kümesinin düşük karmaşıklığa sahip ancak yüksek aktivite gösteren bir operasyon gibi görünse de, aslında birden fazla dağıtıcıyı içeren gerçek bir organizasyonel yapıya sahip olduğunu belirtti.
QiAnXin'e göre, bu dağıtıcılar Asya genelinde SEO zehirlenmesi teknikleri kullanarak sahte yazılım yükleyicileri dağıtıyor ve Gh0st RAT ile WinOS (ValleyRAT) trojan ailelerinin varyantlarını kullanıyor. Haziran 2026 ortasında gözlemlenen bir kampanyada, bir dağıtıcı daha önce belgelenmemiş modüler bir RAT aracılığıyla teknoloji, eğitim ve devlete ait işletmeleri hedef aldı. MODBEACON'un komuta ve kontrol (C2) altyapısı Amazon ve Cloudflare'in İçerik Dağıtım Ağı (CDN) üzerinde barındırılıyor.
Dağıtıcı, 'siber suçlu silah tüccarı' ve 'trafik komisyoncusu' karışımı hibrit bir tehdit aktörü olarak değerlendiriliyor. Operasyonlarının bir kolu, dolandırıcılık amaçlı günlük SEO çalışmalarıyla Asya'da enfeksiyon yayılımını genişletirken, diğer kolu gelişmiş trojanlar yaymayı, yüksek değerli erişimleri alt müşterilere kiralamayı veya Kamboçya kumar sektörünü hedef alan 'suçlu-suçlu' düzenekleri kurmayı içeriyor.
Yeni keşfedilen kampanya, sosyal mühendislik, özel yazılım ve sömürü sonrası araçları birleştirerek uzun süreli erişim sağlarken, enfekte cihazlarda tespit edilmeyi en aza indiriyor. Bellekte çalışan kötü amaçlı yazılım, ek modüller getirebilen, operatör komutlarını çalıştırabilen ve saldırgan altyapısıyla şifreli iletişim kurabilen bir uzaktan implant olarak işlev görüyor.
QiAnXin, 'Trojan, profesyonel ve özel bir C2 çerçevesidir: yükleyici ve işaretçi ayrılmıştır, yapılandırma enjekte edilebilir, işaretçi eklenti tabanlı bir mimari kullanır (giriş/başlatma/bitiş RVA'sına sahip native-v3 eklentileri) ve iletişim için gRPC tünel akışı kullanır. Genel mühendislik kalitesi yüksektir. Temel özelliği, açık kaynaklı bir sansür karşıtı proxy çerçevesinin (Xray/V2Ray) taşıma katmanını C2 kanalı olarak yeniden kullanmasıdır.' açıklamasını yaptı.
Silver Fox saldırı ekosistemine atfedilen önceki kampanyalara benzer şekilde, saldırı zinciri, popüler yerel yazılımların sahte yükleyicilerini tanıtan sahte alan adları kullanarak kullanıcıları kötü amaçlı ZIP arşivlerini indirmeye yönlendiriyor. MODBEACON'un temel yetenekleri arasında ana bilgisayarın parmak izini toplama, eklentileri belleğe yükleme, kalp atışı mesajları gönderme, komut yürütme sonuçlarını raporlama ve zamanlanmış görevlerle kalıcılık sağlama yer alıyor.
QiAnXin, 'Bu yetenek, daha sonra talep üzerine bilgi hırsızlığı, yanal hareket, proxy yönlendirme veya diğer yüklerin genişletilmesi için kullanılabilir.' dedi. Bu açıklama, Silver Fox'un Atlas RAT, ABCDoor, RomulusLoader ve SilentRunLoader gibi kötü amaçlı yazılım ailelerini kullandığı cephaneliğinin kademeli olarak genişlediği bir dönemde geldi ve tehdit aktörünün yöntemlerini aktif olarak geliştirdiğini gösteriyor.
Kaynak: thehackernews.com