时间:2026-07-07 作者:奇安信集团
近日,奇安信威胁情报中心红雨滴团队通过其私有情报AI生产流程,监测到一起由“银狐”(又名“游蛇”、“谷堕大盗”)/UTG-Q-1000背后Ghost分发商发起的定向攻击活动。该团伙一改往日广撒网的攻击模式,针对特定目标投递了一款由Rust语言编写、高度模块化的特种木马。奇安信基于其特殊字符串特征,将该木马命名为MODBEACON,其受害目标呈现高度定制化,涉及科技、教育、国企等领域。

此次攻击活动表明,“银狐”黑产团伙的技术能力和攻击意图正在发生显著变化,其背后可能存在着更为复杂的混合型威胁动机。值得关注的是,奇安信天擎EDR基础版依托“六合”高级威胁防御引擎,已率先具备对MODBEACON stage shellcode的拦截能力,为政企客户构筑起一道坚实的防线。

MODBEACON目标呈现高度定制化、威胁科技、教育、国企
奇安信终端安全专家认为,此次事件的特殊之处在于,该分发商已不再是传统认知中“低水平、高活跃度、以SEO为渠道投递仿冒软件的黑产”。奇安信威胁情报中心将其定性为混合型威胁组织(Hybrid Threat Actor)——它一方面通过日常SEO仿冒软件积累大量受控终端进行诈骗业务,另一方面按需下发高级特马,将高价值权限“出租”或“打包出售”给下游更专业的“甲方客户”。
该组织日常活动以仿冒国内流行软件为主,大量政企单位已中招。其攻击目标呈现高度定制化,涉及科技、教育、国企等多个领域;同时还针对柬埔寨博彩行业展开“黑吃黑”活动,诱饵文件名多以柬埔寨打击诈骗园区、治安事件为噱头,极具时效性与猎奇性。
在此次威胁应对中,奇安信天擎EDR再次展现了强大的高级威胁防御能力。天擎“六合”高级威胁防御引擎已经率先实现对MODBEACON stage shellcode的精准拦截。作为威胁情报驱动的新一代终端安全产品,天擎EDR通过持续监测终端活动行为、检测安全风险、对威胁风险进行深度调查、提供补救响应手段,有效弥补了传统终端安全产品在高级威胁防御能力方面的不足。
该木马高度工程化,具备国家级攻击水准
MODBEACON是一款专业且私有的C2(Command and Control,命令与控制)框架,其工程化程度较高,展现出与以往“银狐”家族样本截然不同的技术特点。
其一,基于插件化架构设计:采用加载器(Loader)与信标(Beacon)分离的架构,配置可注入,Beacon本身采用插件化架构(native-v3插件),具备高度的灵活性和可扩展性。
其二,通信隐匿性极强:其核心亮点在于复用了开源抗审查代理框架(Xray/V2Ray)的传输层作为C2信道。具体而言,它利用gRPC隧道进行流式通信(xray.transport.internet.grpc.encoding.GRPCService/Tun),将恶意流量伪装成一次普通的HTTP/2+gRPC双向流式调用。这种技术能有效规避基于传统流量特征的检测与封锁,隐蔽性极强。其C2域名托管于Amazon CDN与Cloudflare CDN,进一步增加了追踪难度。
其三,功能高度模块化:该木马具备主机指纹采集、Agent Token认证、心跳维持、状态回传等基础功能。更重要的是,它支持从C2服务器下发native-v3格式的插件,并在内存中动态加载执行。这意味着攻击者可以根据需要,按需扩展窃密、横向移动、代理转发等恶意功能,实现“按需定制”的攻击。
其四,多重持久化机制:除了使用服务和计划任务等传统方式,Ghost分发商还会建立WMI永久订阅事件,创建定时器来启动MODBEACON木马,确保其在受害者机器上长期潜伏。
综合来看,MODBEACON的通信隐匿性、模块化程度和持久化能力均达到了国家级APT攻击水准。该木马的发现进一步印证了该Ghost分发商已从单纯的“黑产”演变为具备政治意图的混合型威胁组织。
天擎EDR:云端猎鹰平台赋能,轻量化部署实现“落地即杀”
面对银狐木马家族的持续演进和变种频出,奇安信天擎EDR凭借云端情报赋能的独特架构和对终端行为的深度感知能力,始终保持着对银狐木马及其变种的高效防御优势。
首先,EDR基础版依托云端猎鹰平台,更快、更准地发现和拦截未知威胁。
天擎EDR基础版并非孤立的终端防护工具,而是与云端“猎鹰终端情报运营平台”深度联动的安全防御体系。该平台基于奇安信多年来积累的海量威胁数据与攻防经验进行训练,并通过云端大数据分析和AI智能体研判,在数分钟内完成对可疑行为的自动化分析、关联溯源和风险定级,并将研判结果迅速下发至终端执行处置。

相比传统依赖本地特征库的防护方式,这种“云+端”协同模式大幅缩短了从威胁发现到响应的闭环时间,尤其对银狐家族频繁变种、多阶段内存加载等无文件攻击手法,能够基于行为序列和异常模式进行精准识别,而非依赖已知签名,从而显著提升了对未知威胁的检出率和响应速度。
其次,奇安信猎鹰MDR轻量化云监测服务,不改变原有部署架构,实现精准威胁识别。
对于已经部署天擎的政企客户,猎鹰MDR提供了一种轻量化的安全监测升级路径。该服务在不改变原有天擎部署架构的前提下,将终端云日志对接至云端猎鹰服务平台,结合奇安信云端情报体系、威胁运营AI智能体平台以及安全专家的7×24小时持续运营,帮助客户精准识别终端上的安全威胁。这种“原架构、轻改造、强赋能”的方式,使得广大政企客户无需投入高昂的硬件升级或运维人力成本,即可获得接近专业MDR服务的威胁监测与响应能力。

最后是奇安信在银狐木马防御领域的长期积累。
自银狐木马2022年末首次露面以来,奇安信威胁情报中心持续跟踪监测该家族的活动态势。银狐木马攻击目标不断蔓延,从财税人员逐步转向IT运营人员,几乎每两周就会出现新变种。面对这一持续演进的高级威胁,奇安信构建了从威胁情报、AI研判到终端响应的全链条防御体系,针对不同类型风险进行对应威胁遏制和安全修复。
在此次MODBEACON事件中,天擎“六合”高级威胁防御引擎再次印证了其对抗高级威胁的能力。从银狐的SEO仿冒投递到MODBEACON的Rust特种木马,从天擎EDR的“落地即杀”到猎鹰MDR轻量化云监测服务,奇安信始终以领先的终端安全能力守护政企客户的数字资产安全。面对不断演进的网络威胁,部署优秀的EDR产品已成为企业抵御高级威胁的必然选择。
95015服务热线
微信公众号
京公网安备11000002002064号