背景
"银狐/UTG-Q-1000"长期被视作低水平、高活跃度、以 SEO 为渠道投递仿冒软件的黑产的代名词,但其背后实为多个分发商构成的、类似境外 Malware-as-a-Service (MaaS) 的组织架构。这些分发商借助 ghost 变种、winos(ValleyRat)等木马家族,在亚洲地区借仿冒软件安装包的 SEO 投放开展活动。2025 年我们反制了其中一个分发商[1],其远控目的仅限于在 IM群聊中投递诈骗链接,并不涉及窃密与政治动机。
2026 年 6 月中旬,奇安信威胁情报中心红雨滴团队的私有情报 AI 生产流程检测到一伙 ghost 分发商在特定目标下发一款由 Rust 编写、高度模块化的特种木马;基于其特殊字符串特征,我们将该木马命名为 MODBEACON。其受害目标呈现高度定制化,涉及科技、教育、国企等领域:

MODBEACON 请求的 C2 域名托管于 Amazon CDN 与 Cloudflare CDN。该木马是一款专业且私有的 C2 框架:加载器与 beacon 分离、配置可注入、beacon 采用插件化架构(native-v3 插件,带 entry/init/fini RVA)、gRPC 隧道流式通信,整体工程化程度较高。其核心亮点在于复用开源抗审查代理框架(Xray/V2Ray)的传输层作为 C2信道(xray.transport.internet.grpc.encoding.GRPCService/Tun)——该协议本用于将 VMess/VLESS/Trojan 等代理协议的数据流伪装为一次普通的 gRPC 双向流式调用,使流量在网络层呈现为标准的 HTTP/2 + gRPC 请求,从而规避基于流量特征的封锁与审查。
在后续对这伙ghost分发商的溯源中,我们进一步发现其还针对柬埔寨的博彩行业展开"黑吃黑"活动,投递的诱饵命名风格与当年我们披露金眼狗[2]、金指狗[3]时颇为相似。结合其按特定行业筛选目标、并分权限下发MODBEACON特马的行为特征,该分发商的动机已难以单纯以经济目的加以解释,背后可能存在外包性质的政治意图,这引起了我们对该分发商的浓厚兴趣
天擎“六合”高级威胁防御引擎已经可以对MODBEACON stage shellcode进行拦截:

银狐ghost分发商溯源
涉及投递MODBEACON特马的ghost C2如下:
www.nd9c887r.com |
|---|
www.damaix9k.com |
vaeth.cn |
182.16.88.242 |
kkuu8899.org |
基于我们现场排查的下载记录定位到上层的仿冒域名和下载链接:
SEO活动仿冒域名 |
|---|
cn-mumu.com.cn |
下载链接 |
https://asd268668.oss-ap-southeast-1.aliyuncs.com/MeiqiWintsetup_x64.zip |

基于元数据扩线发现这批仿冒域名最早于2025年9月份开始活跃,涉及的仿冒域名如下:

基于VT数据也能观察到该分发商的日常活动主要是仿冒国内流行软件,大量政企中招。

基于MODBEACON的域名我们关联到了另一批ghost诱饵,文件名多以以柬埔寨打击诈骗园区、治安事件为噱头,极具时效性与猎奇性:Poipet(波贝,边境诈骗重镇)、Sihanoukville(西哈努克港)、Phnom Penh(金边)还有对应的高棉语版本。

对该分发商性质的评估,我们更倾向于混合型威胁组织(Hybrid Threat Actor)属于“黑产军火商”与“流量中间商”的复合体,一方面通过日常SEO工作在亚洲积累大量受控终端进行诈骗业务,另一方面按需下发高级特马,将高价值的权限“出租”或“打包出售”给下游更专业的“甲方客户”,或者自己建立针对高价值博彩目标的“黑吃黑小组”。
MODBEACON分析
Ghost除了通过服务和计划任务等传统方式给MODBEACON创建持久化外,还会建立wmi永久订阅事件建立CBPUserTimer定时器启动MODBEACON特马:

样本是一个 Rust 编写或静态链接 Rust 运行库的 Windows x64 内存态 stage/implant,具备 gRPC over HTTP/2 通信、TLS 连接、主机指纹采集、agent token 认证、心跳、状态回传、命令结果回传、内存插件加载和 native-v3 插件会话能力。基于字符串 MODBEACON_AGENT_TOKEN_PATCH_V1,我们将特马命名为MODBEACON。
C2/Endpoint
1.https://api.skystackservice.com
偏移:
0x79708代码引用:
0x32160
2.https://api.fast-cloud-node.com
偏移:
0x79727代码引用:
0x32182、0x5ab99,另有0x0dc5a附近间接引用命中
Agent Token / Hash
b68e2067cc88985339154ef7b9674fa1fe958039ce15a8820195217495cded7994d660f181fe1367337ac8d6b372473c596be3f40ee989007bad57c2736be017
长度:128 hex chars
位置:紧跟两个 HTTPS endpoint 之后,起始约
0x79746
互斥体/环境变量
Global\\CBP.QZKVM.Exe.Mutex,偏移0x7159cCBPUserSvc,偏移0x71578APP_RUNTIME,偏移0x71582APP_EXE_PATH,偏移0x7158cMODBEACON_AGENT_TOKEN_PATCH_V1,偏移0x7fc98
协议/服务名
/xray.transport.internet.grpc.encoding.GRPCService/Tunxray.transport.internet.grpc.encoding.GRPCServiceTunx-agent-tokenapplication/grpcgrpc-statusgrpc-messagegrpc-timeout
控制流概览
初始化与单实例
在 0x149a、0x17ce、0x170a 附近可见对 CBPUserSvc、APP_RUNTIME、Global\\CBP.QZKVM.Exe.Mutex 的 RIP 相对引用。导入区包含 CreateMutexW、GetEnvironmentVariableW、SetEnvironmentVariableW、GetModuleFileNameW 等 API。推测初始化流程包括:
1. 读取运行环境变量和程序路径。
2. 创建 Global\\CBP.QZKVM.Exe.Mutex 防止多实例。
3. 通过 Windows API 初始化运行时、线程和网络组件。
C2 配置选择与 token patch
0x32120 附近函数集中引用默认 C2 和 token patch 字符串:
0x32160 使用 RIP 相对地址加载 https://api.skystackservice.com 附近配置。
0x32182 加载 https://api.fast-cloud-node.com 附近配置。
0x321b8 引用 MODBEACON_AGENT_TOKEN_PATCH_V1,后续有 0x200 字节循环检查逻辑,疑似读取/覆盖内置 agent token。
该函数栈帧较大,符合 Rust 配置构造、字符串对象和错误处理路径的形态。结合字符串 parse grpc endpoint、connect grpc endpoint、invalid agent token metadata,可判断其负责解析 endpoint、构建 token metadata,并选择可用 C2。
gRPC/TLS 通信流程
字符串池在 0x794c8 起给出主流程状态文本:
parse grpc endpointconnect grpc endpointbuild native TLS connectorqueue helloinvalid agent token metadatax-agent-tokenopen grpc tun streamread hello ackread server framegrpc response stream endedheartbeat timeoutgrpc response stream ended before hello ack
这说明通信流程为:
1. 解析内置 HTTPS C2。
2. 建立 native TLS connector。
3. 使用 gRPC Tun 服务打开双向隧道。
4. 在 metadata 中携带 x-agent-token。
5. 发送 hello,等待 HelloAck。
6. 维持 heartbeat。
7. 接收 server frame 并分发命令。
8. 上传状态刷新和命令执行结果。
导入区同时出现 WSAStartup、WSASocketW、connect、send、recv、shutdown、CertGetCertificateChain、CertVerifyCertificateChainPolicy、InitializeSecurityContextW、EncryptMessage、DecryptMessage,支持上述网络/TLS 判断。
主机指纹采集
0x465c5 附近引用 SOFTWARE\\Microsoft\\Cryptography\\MachineGuid,字符串池还包含:
COMPUTERNAMEHOSTNAMEUSERNAMEUSERLOGNAMESystemRootwindirSystemDriveplatformsystem-diskhost-userwindows-system-volume:
推测该阶段采集主机唯一标识、用户名、主机名、系统目录和磁盘信息,用于注册 agent、生成上线状态或环境标签。
命令与插件分发
protobuf/gRPC 语义字符串位于 0x7b600+:
Commandcommand_idHelloAckHeartbeatConfigSyncLoadPluginUnloadPluginStatusRefreshPluginSessionFrameartifact_bytesartifact_formatsha256targetsource_flag
0x44003 附近多处引用 PluginSessionFrame,0x4475f 附近多处引用 LoadPlugin 相关枚举/字段,说明服务端 frame 被解析后进入不同命令处理分支。
native-v3 内存插件加载
字符串池 0x79900-0x7a758 包含完整 native-v3 loader 错误路径:
load plugin artifactload native-v3 plugin moduleplugin loaded in memoryplugin reloaded in memoryplugin unloadednative-v3 plugin on_load failednative-v3 plugin on_session is missingartifact target architecture does not match this agentsegment protection failedrelocation overflowentry rva is not executablesegment cannot be writable and executable
这表明样本支持从 C2 下发 native-v3 格式插件,在内存中分配镜像、校验架构、映射 segment、应用 relocation、设置内存保护并调用插件入口/会话回调。该能力可用于后续按需扩展窃密、横向移动、代理转发或其他载荷。
总结
目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等,都已经支持对此类攻击的精确检测。

IOC
MODBEACON-MD5:
13aff4f82171d42e7f0a72dc96346c45
f6c69d8026d2114e5322f06f69471a6c
9913b09fddbe47d4459c1ae0aa8c4953
e32797efc17c8a9a663f6f0e64fcfa08
MODBEACON C2:
skystackservice.com
fast-cloud-node.com
ghost C2:
www.nd9c887r.com
www.damaix9k.com
vaeth.cn
182.16.88.242:22
kkuu8899.org
参考链接
[1] https://mp.weixin.qq.com/s/BUDSvqc_DhBNad71kI2VuA
[2]https://ti.qianxin.com/blog/articles/operation-dragon-breath-(apt-q-27)-dimensionality-reduction-blow-to-the-gambling-industry/
[3] https://www.secrss.com/articles/27069
声明:本文来自奇安信威胁情报中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。