Как китайская группировка Silver Fox превратила инструмент против цензуры в оружие для шпионажа?

Специалисты китайской компании QiAnXin обнаружили новый троян удалённого доступа под названием MODBEACON — написанный на Rust инструмент, который приписывают группировке Silver Fox. Находка любопытна не столько самим фактом появления очередного RAT, сколько тем, как устроена структура тех, кто за ним стоит. На первый взгляд Silver Fox выглядит хаотичной массовой операцией с низким уровнем технической подготовки — таких групп в Азии десятки. Но при более внимательном изучении картина меняется: перед исследователями оказалась разветвлённая сеть дистрибьюторов, каждый из которых работает по своей схеме и обслуживает разные цели.
Дистрибьюторов, связанных с Silver Fox, QiAnXin описывает довольно образно — как гибрид «торговца оружием для киберпреступников» и «брокера трафика». Это не метафора ради красоты слога, а вполне рабочее описание бизнес-модели. С одной стороны, эти люди ежедневно занимаются SEO-отравлением, накручивая позиции поддельных сайтов в поисковой выдаче по всей Азии — классическая мошенническая рутина, приносящая стабильный, хотя и не выдающийся доход. С другой стороны, та же инфраструктура используется для распространения куда более серьёзных инструментов: вариантов Gh0st RAT и трояна семейства WinOS, также известного как ValleyRAT.
Отдельная линия бизнеса — сдача в аренду доступа к заражённым машинам нижестоящим клиентам. Среди прочего QiAnXin зафиксировала схему «преступник против преступника», нацеленную на игорный сектор Камбоджи. То есть одни киберпреступные группы атакуют инфраструктуру других, работающих в теневой индустрии онлайн-гемблинга — рынок специфический, но денежный, и явно привлекательный для тех, кто ищет мишени без особого риска судебного преследования.
Собственно кампания с использованием MODBEACON была зафиксирована в середине июня 2026 года. Целями стали технологические компании, образовательные учреждения и государственные предприятия — судя по контексту, преимущественно в Китае и близких к нему азиатских регионах. Сам троян ранее в документации не встречался и обладает модульной архитектурой, что уже само по себе говорит о продуманности инструмента, а не о поделке на скорую руку.
Инфраструктура управления и контроля размещена на вполне легитимных облачных площадках — Amazon Web Services и сети доставки контента Cloudflare. Ход не новый, но эффективный: трафик от вредоносного C2-сервера сложнее отличить от обычного корпоративного или пользовательского обмена данными, когда он идёт через привычные IP-адреса крупных провайдеров.
Схема заражения строится на сочетании социальной инженерии, кастомного вредоносного кода и постэксплуатационных инструментов. Задача — закрепиться в системе на долгий срок, оставаясь при этом незамеченным как можно дольше. Технически всё начинается с поддельных доменов, рекламирующих фальшивые установщики популярного в регионе программного обеспечения. Пользователь скачивает архив ZIP, думая, что получает нужную программу, а вместо этого запускает цепочку заражения.
Про сам MODBEACON в QiAnXin высказались прямо: «Троян представляет собой профессиональный и приватный C2-фреймворк». Загрузчик и модуль связи с сервером (бикон) разделены между собой, конфигурация может внедряться отдельно, а функциональность расширяется через плагины формата native-v3 — со стандартной для такой архитектуры структурой точек входа, инициализации и завершения работы (entry/init/fini RVA).
Самое интересное техническое решение здесь — способ связи с управляющим сервером. MODBEACON использует потоковую передачу через gRPC, а транспортный слой позаимствован у Xray/V2Ray — открытого фреймворка-прокси, который в оригинале создавался для обхода цензуры и блокировок в интернете. Авторы трояна взяли готовый, проверенный механизм маскировки трафика и превратили его в канал командного управления. Решение можно назвать элегантным: то, что задумывалось как инструмент свободы в сети, здесь работает ровно в обратную сторону, помогая скрыть шпионскую активность от систем мониторинга.
Функционально MODBEACON умеет снимать отпечаток заражённого хоста, подгружать плагины прямо в память без записи на диск, отправлять heartbeat-сообщения, чтобы оператор понимал, что заражённая машина «жива», докладывать о результатах выполненных команд и закрепляться в системе через задачи планировщика. По сути это классический имплант для удалённого доступа — с возможностью подтягивать дополнительные модули, выполнять команды операторов и держать зашифрованный канал связи с управляющей инфраструктурой открытым столько, сколько потребуется. При необходимости функциональность легко расширяется под конкретную задачу: кражу данных, продвижение по сети, проксирование трафика через заражённый узел или доставку следующей полезной нагрузки.
Появление MODBEACON стоит в общем ряду инструментов, которые Silver Fox выпускала за последнее время — Atlas RAT, ABCDoor, RomulusLoader и SilentRunLoader. Список расширяется, техники становятся сложнее, а сама группа явно не собирается останавливаться на уже проверенных схемах Gh0st RAT и WinOS. Судя по темпам появления новых семейств малвари, инвестиции в разработку у этой экосистемы вполне серьёзные — что не очень вяжется с образом «низкоквалифицированной, но активной» группировки, каким Silver Fox предстаёт при поверхностном взгляде.


Новое на сайте

Ссылка