Se cree que un grupo cibercriminal vinculado a China conocido como Silver Fox es responsable de un nuevo troyano de acceso remoto (RAR) basado en Rust llamado MODBEACON.
La firma china de ciberseguridad QiAnXin dijo que si bien este grupo de amenazas puede parecer una operación poco sofisticada y de alta actividad que utiliza técnicas de envenenamiento de SEO para propagar malware a través de instaladores falsificados, traiciona una verdadera estructura organizacional que pone en riesgo a múltiples distribuidores.
«Estos distribuidores operan en toda Asia utilizando variantes de la familia de troyanos Gh0st RAT y WinOS (ValleyRAT) e instaladores de software falsificados distribuidos a través de campañas de SEO», dijo QiAnXin.
Una de esas campañas observada a mediados de junio de 2026 involucró a un distribuidor que entregaba un RAT modular previamente indocumentado dirigido a la tecnología, la educación y las empresas estatales nacionales. La infraestructura de comando y control (C2) requerida por MODBEACON está alojada en las redes de entrega de contenido (CDN) de Amazon y Cloudflare.
Se considera que este distribuidor es un actor de amenazas híbrido que combina un «traficante de armas para delitos cibernéticos» y un «corredor de tráfico». Una rama de sus actividades implica expandir su presencia en toda Asia a través de operaciones rutinarias de SEO para negocios fraudulentos, mientras que otra se enfoca en propagar troyanos sofisticados, alquilar acceso de alto valor a clientes intermedios o establecer esquemas «criminal contra criminal» dirigidos al sector del juego de Camboya.
La campaña recién descubierta combina ingeniería social, malware personalizado y herramientas posteriores a la infracción para establecer un acceso a largo plazo con una detección mínima en los hosts infectados. El malware residente en la memoria actúa como un implante remoto capaz de adquirir módulos adicionales, ejecutar comandos del operador y mantener comunicaciones cifradas con la infraestructura del atacante.

«El troyano es un marco C2 profesional y privado. El cargador y la baliza están separados, la configuración es inyectable, la baliza adopta una arquitectura basada en complementos (complemento nativo v3 con entrada/init/fini RVA) y utiliza transmisión de túnel gRPC para la comunicación», explicó QiAnXin. «La calidad general de la ingeniería es alta; lo más destacado es la reutilización de la capa de transporte de un marco proxy anticensura de código abierto (Xray/V2Ray) como canal C2».
Al igual que campañas anteriores del ecosistema de intrusión Silver Fox, esta cadena de ataque utiliza dominios falsos que promueven instaladores falsos de software doméstico popular como cebo para engañar a usuarios desprevenidos para que descarguen archivos ZIP maliciosos responsables de la implementación de malware.
La funcionalidad principal de MODBEACON incluye:
Tomar huellas digitales del host Cargar complementos en la memoria Enviar mensajes de latido Informar los resultados de la ejecución de comandos Configurar la persistencia mediante tareas programadas
«Esta capacidad se puede utilizar para el posterior robo de información, movimiento lateral, reenvío de proxy u otra expansión de cargas útiles bajo demanda», dijo QiAnXin.
La divulgación se produce en medio de una expansión gradual del arsenal de Silver Fox, que implementa familias de malware rastreadas como Atlas RAT, ABCDoor, RomulusLoader y SilentRunLoader, y muestra que el actor de amenazas está refinando activamente sus métodos.
Source link