QiAnXin zufolge tarnt Silver Fox seine Operationen häufig als breit angelegte, vermeintlich wenig ausgefeilte Malware-Verbreitung über gefälschte Software-Installer und SEO-Kampagnen. Hinter dieser Fassade stehe jedoch eine organisatorische Struktur, die mehrere Distributoren umfasst. Diese Akteure führen laut dem Unternehmen in Asien Kampagnen mit gefälschten Installern durch und setzen dabei Varianten der Trojanerfamilien Gh0st RAT und WinOS beziehungsweise ValleyRAT ein.
Bei der nun beschriebenen Kampagne kam ein zuvor nicht dokumentierter modularer RAT zum Einsatz. QiAnXin stuft den verantwortlichen Distributor als hybriden Bedrohungsakteur ein, der Eigenschaften eines „Cybercrime-Waffenhändlers“ und eines Traffic-Brokers vereint. Ein Teil der Aktivitäten ziele darauf, die Zahl der Infektionen in Asien durch tägliche SEO-Operationen für Betrugsgeschäfte zu vergrößern. Der andere Teil konzentriere sich auf die Verbreitung fortgeschrittener Trojaner, die Vermietung hochwertiger Zugänge an nachgelagerte Kunden oder auf „Kriminelle-gegen-Kriminelle“-Modelle mit Bezug zum kambodschanischen Glücksspielsektor.
Die Angriffskette folgt laut QiAnXin einem bekannten Muster aus dem Silver-Fox-Ökosystem. Angreifer registrieren gefälschte Domains, die angebliche Installer populärer inländischer Software anbieten. Diese Köder sollen Nutzer dazu bringen, manipulierte ZIP-Archive herunterzuladen, die anschließend die Malware auf dem System ablegen.
Technisch hebt QiAnXin vor allem den Aufbau von MODBEACON hervor. Die Malware arbeitet speicherresident, soll langfristigen Zugriff sichern und zugleich die Erkennung auf kompromittierten Systemen erschweren. Als Remote-Implantat kann sie weitere Module abrufen, Operator-Befehle ausführen und verschlüsselte Verbindungen zur Angreifer-Infrastruktur aufrechterhalten.
Nach Angaben von QiAnXin handelt es sich um ein professionelles, privat genutztes C2-Framework. Loader und Beacon seien voneinander getrennt, die Konfiguration lasse sich injizieren, und der Beacon setze auf eine pluginbasierte Architektur mit native-v3-Plugins samt entry-, init- und fini-RVA. Für die Kommunikation nutzt MODBEACON gRPC-Tunnel-Streaming. Als zentrales technisches Merkmal bezeichnet QiAnXin die Wiederverwendung der Transportschicht eines quelloffenen Anti-Zensur-Proxy-Frameworks, konkret Xray beziehungsweise V2Ray, als C2-Kanal.
Zu den Kernfähigkeiten von MODBEACON zählt nach Darstellung von QiAnXin insbesondere die Möglichkeit, den Zugriff bei Bedarf für weitere Schritte auszubauen. Das könne für die spätere Ausweitung von Informationsdiebstahl, seitliche Bewegungen, Proxy-Weiterleitung oder andere Nutzlasten verwendet werden.
Die Veröffentlichung ordnet sich laut QiAnXin in eine schrittweise Ausweitung des Silver-Fox-Arsenals ein. Der Bedrohungsakteur habe bereits Malware-Familien eingesetzt, die unter den Namen Atlas RAT, ABCDoor, RomulusLoader und SilentRunLoader geführt werden. Für QiAnXin ist das ein Hinweis darauf, dass Silver Fox seine Vorgehensweise aktiv weiterentwickelt.