El grupo de cibercrimen vinculado a China conocido como Zorro plateado se ha atribuido a un nuevo troyano de acceso remoto (RAR) basado en Rust llamado MODALIZADOR.
La empresa china de ciberseguridad QiAnXin dijo que si bien el grupo de amenazas puede parecer una operación poco sofisticada y de alta actividad que propaga malware a través de instaladores falsificados utilizando técnicas de envenenamiento de SEO, desmiente su verdadera estructura organizacional, que compromete a múltiples distribuidores.
“Estos distribuidores llevan a cabo actividades en toda Asia utilizando instaladores de software falsificados distribuidos a través de campañas de SEO, aprovechando variantes de las familias de troyanos Gh0st RAT y WinOS (ValleyRAT)”, dijo QiAnXin.
Una de esas campañas observada a mediados de junio de 2026 involucró a un distribuidor que entregaba un RAT modular previamente indocumentado dirigido a la tecnología, la educación y las empresas estatales del país. La infraestructura de comando y control (C2) solicitada por MODBEACON está alojada en Amazon y la red de entrega de contenido (CDN) de Cloudflare.
Se considera que el distribuidor es un actor de amenazas híbrido, que actúa como una combinación de “traficante de armas cibercriminal” y “corredor de tráfico”. Una rama de sus operaciones implica expandir su huella de infección en toda Asia a través de operaciones diarias de SEO para negocios fraudulentos, mientras que la otra se centra en propagar troyanos avanzados, alquilar acceso de alto valor a clientes intermedios o establecer esquemas “criminal contra criminal” dirigidos al sector del juego camboyano.
La campaña recién descubierta combina ingeniería social, malware personalizado y herramientas posteriores al compromiso para establecer un acceso a largo plazo y al mismo tiempo minimizar la detección en hosts infectados. El malware residente en la memoria funciona como un implante remoto capaz de recuperar módulos adicionales, ejecutar comandos del operador y mantener comunicaciones cifradas con la infraestructura del atacante.

“El troyano es un marco C2 profesional y privado: el cargador y la baliza están separados, la configuración es inyectable, la baliza emplea una arquitectura basada en complementos (complementos nativos v3 con entrada/init/fini RVA) y utiliza transmisión de túnel gRPC para la comunicación”, explicó QiAnXin. “La calidad general de la ingeniería es alta. Su principal punto destacado es la reutilización de la capa de transporte de un marco proxy anticensura de código abierto (Xray/V2Ray) como su canal C2”.
Al igual que campañas anteriores atribuidas al ecosistema de intrusión de Silver Fox, la cadena de ataque utiliza dominios falsificados que anuncian instaladores falsos de software nacional popular como señuelo para engañar a los usuarios desprevenidos para que descarguen archivos ZIP maliciosos responsables de implementar el malware.
Las capacidades principales de MODBEACON incluyen:
- Tomando huellas dactilares del anfitrión
- Cargando complementos en la memoria
- Enviar mensajes de latidos del corazón
- Informar los resultados de la ejecución del comando.
- Configurar la persistencia mediante tareas programadas
“Esta capacidad se puede utilizar para la posterior expansión bajo demanda del robo de información, movimiento lateral, reenvío de proxy u otras cargas útiles”, dijo QiAnXin.
La divulgación se produce en medio de una ampliación gradual del arsenal de Silver Fox, que ha implementado familias de malware rastreadas como Atlas RAT, ABCDoor, RomulusLoader y SilentRunLoader, lo que indica que el actor de amenazas está refinando activamente su oficio.