MODBEACON RAT Baru Pakai gRPC Streaming untuk Komunikasi C2 Terenkripsi
MODBEACON RAT Baru Pakai gRPC Streaming untuk Komunikasi C2 Terenkripsi
Kelompok kejahatan siber yang terkait dengan China, Silver Fox, baru-baru ini diketahui menggunakan trojan akses jarak jauh (RAT) baru berbasis bahasa pemrograman Rust bernama MODBEACON. Trojan ini dilaporkan menyebar melalui installer perangkat lunak palsu yang dikemas rapi dan menargetkan sektor teknologi, pendidikan, serta perusahaan milik negara di Asia.
Metode Penyebaran dan Target Operasi
Menurut perusahaan keamanan siber asal China, QiAnXin, meskipun Silver Fox tampak seperti kelompok dengan operasi sederhana yang giat melakukan penyebaran malware lewat teknik SEO poisoning dengan installer palsu, sebenarnya mereka memiliki struktur organisasi yang kompleks dan menguasai banyak distributor di berbagai negara Asia.
"Distributor ini melakukan aktivitas di seluruh Asia dengan menyebarkan installer perangkat lunak palsu melalui kampanye SEO, menggunakan varian malware dari keluarga Gh0st RAT dan WinOS (ValleyRAT)," jelas QiAnXin.
Kampanye terbaru yang terpantau pada pertengahan Juni 2026 memperlihatkan distribusi MODBEACON yang belum pernah terungkap sebelumnya, menyasar perusahaan teknologi, institusi pendidikan, dan BUMN. Infrastruktur command-and-control (C2) yang digunakan oleh malware ini ditempatkan di layanan Amazon dan Cloudflare CDN, sehingga sulit dilacak dan dihapus.
Karakteristik dan Teknik MODBEACON
Distributor malware ini diperkirakan merupakan aktor hybrid yang berperan sebagai "penjual senjata siber" sekaligus "broker lalu lintas". Mereka mengembangkan jejak infeksi di Asia melalui kampanye SEO harian untuk bisnis penipuan sekaligus menyebarkan trojan canggih atau menyewakan akses berharga ke pelanggan downstream. Ada pula skema kriminal yang membidik industri perjudian di Kamboja.
MODBEACON menggabungkan teknik rekayasa sosial, malware kustom, dan alat pasca-kompromi untuk mempertahankan akses jangka panjang sekaligus menghindari deteksi di perangkat yang terinfeksi. Malware yang berjalan di memori ini berfungsi sebagai implant remote yang mampu mengambil modul tambahan, menjalankan perintah operator, dan berkomunikasi secara terenkripsi dengan infrastruktur penyerang.
"Trojan ini merupakan framework C2 yang profesional dan privat: loader dan beacon-nya terpisah, konfigurasi bisa diinject, beacon menggunakan arsitektur berbasis plugin (native-v3 dengan entry/init/fini RVA), dan memakai gRPC tunnel streaming untuk komunikasi," jelas QiAnXin. "Kualitas rekayasanya sangat tinggi, dengan lapisan transportasi yang menggunakan framework proxy anti-sensor open-source (Xray/V2Ray) sebagai saluran C2-nya."
Modus serangan MODBEACON masih menggunakan domain palsu yang mempromosikan installer software populer dalam negeri sebagai umpan. Pengguna yang tidak curiga lantas mengunduh arsip ZIP berisi malware yang kemudian menjalankan payload berbahaya.
Fitur Utama MODBEACON
- Fingerprinting host untuk mengidentifikasi target
- Memuat plugin di memori untuk menambah fungsi
- Mengirim pesan heartbeat guna menjaga komunikasi dengan C2
- Melaporkan hasil eksekusi perintah ke operator
- Menetapkan persistensi lewat scheduled tasks agar malware aktif terus-menerus
Menurut QiAnXin, kemampuan ini memungkinkan pelaku untuk memperluas pencurian data, melakukan pergerakan lateral di jaringan, meneruskan trafik proxy, serta mengeksekusi payload tambahan sesuai kebutuhan.
Perkembangan Ancaman Silver Fox
Kampanye MODBEACON menandai perluasan arsenal Silver Fox yang sebelumnya telah menggunakan malware seperti Atlas RAT, ABCDoor, RomulusLoader, dan SilentRunLoader. Hal ini menunjukkan kelompok ini terus mengasah teknik dan memperbarui alat mereka untuk mengoptimalkan serangan dan menghindari deteksi.
Melalui cara penyebaran yang memanfaatkan kombinasi teknik rekayasa sosial, teknologi canggih, dan infrastruktur cloud terpercaya, Silver Fox mampu melakukan serangan siber yang sulit dilacak dan diatasi.
Analisis Redaksi
Menurut pandangan redaksi, kemunculan MODBEACON menunjukkan tren meningkatnya penggunaan bahasa pemrograman Rust dalam pembuatan malware karena kecepatan, keamanan memori, dan kemampuannya untuk menyembunyikan jejak di memori. Penggunaan gRPC streaming sebagai saluran komunikasi C2 juga merupakan inovasi teknis yang membuat deteksi tradisional menjadi kurang efektif.
Lebih jauh, model operasi Silver Fox yang menggabungkan peran sebagai distributor malware sekaligus broker akses ilegal menunjukkan adanya komersialisasi siber yang semakin terorganisir dan kompleks. Ini menjadi peringatan bagi perusahaan dan institusi penting agar meningkatkan kewaspadaan, terutama dengan metode penyebaran malware melalui installer palsu yang tampak sah.
Ke depan, pemantauan terhadap aktivitas kelompok seperti Silver Fox harus diperkuat, terutama karena mereka menyasar sektor-sektor strategis yang dapat berdampak luas apabila data dan sistemnya berhasil dikompromikan. Penguatan keamanan siber nasional dan edukasi pengguna menjadi kunci utama untuk mencegah infeksi malware jenis ini.
Untuk informasi lebih lanjut dan update terkait ancaman siber MODBEACON dan aktivitas Silver Fox, Anda dapat mengunjungi sumber asli artikel ini di The Hacker News dan mengikuti perkembangan di media keamanan siber terkemuka.
What's Your Reaction?
Like
0
Dislike
0
Love
0
Funny
0
Angry
0
Sad
0
Wow
0