Chaos Botnet & Silver Fox: Hai Chiến Dịch China-Nexus Hội Tụ Trên Một Cơ Sở Hạ Tầng
Tóm Tắt
Tháng 3–4/2026, Darktrace công bố biến thể mới của Chaos botnet đang nhắm mục tiêu vào các triển khai cloud bị cấu hình sai — đặc biệt là Apache Hadoop — thay vì chỉ tập trung vào router và thiết bị edge như trước. Biến thể mới bổ sung khả năng SOCKS5 proxy, cho phép kẻ tấn công biến máy chủ nạn nhân thành relay traffic để che giấu nguồn gốc thật của hoạt động độc hại.
Song song với đó, nhóm Silver Fox (còn theo dõi dưới tên UTG-Q-1000, Void Arachne) — trước đây tập trung vào Trung Quốc và Đài Loan — đã mở rộng phạm vi địa lý sang Nhật Bản và Malaysia bằng cách sử dụng Winos 4.0 (ValleyRAT) và HoldingHands RAT (Gh0stBins). Phishing có chủ đề thuế là vector xâm nhập chính.
Điểm đáng chú ý: domain phân phối payload Chaos (pan.tenire[.]com) đã được xác nhận có liên quan đến chiến dịch phishing Operation Silk Lure của Silver Fox vào tháng 10/2025. Sự chồng lấp cơ sở hạ tầng này cho thấy khả năng hai chiến dịch chia sẻ một phần hạ tầng, hoặc cùng xuất phát từ hệ sinh thái tội phạm mạng Trung Quốc.
Tổ chức cần hành động ngay nếu: có workload Hadoop, Spark, hoặc bất kỳ big data framework nào expose ra internet — đặc biệt các cổng quản trị ResourceManager (8088/tcp).
1. Bối Cảnh & Mối Liên Hệ Giữa Hai Chiến Dịch
Chaos Botnet — Lịch Sử Phát Triển
Chaos được Lumen Black Lotus Labs lần đầu ghi nhận vào tháng 9/2022. Được viết bằng Go, malware này có khả năng cross-platform đáng kể: hỗ trợ Windows, Linux, FreeBSD và hoạt động trên nhiều kiến trúc CPU — ARM, Intel x86/x86-64, MIPS, PowerPC. Chaos được đánh giá là hậu duệ của Kaiji, một DDoS malware từng nhắm vào các Docker instance bị cấu hình sai.
Trong phiên bản 2022, Chaos đã có thể thực thi tới 70 lệnh từ C2, bao gồm: remote shell, brute-force SSH để lan rộng, khai thác CVE đã biết, đào tiền mã hóa, và tấn công DDoS qua HTTP, TLS, TCP, UDP, WebSocket.
Silver Fox — Threat Actor Profile
Silver Fox (SwimSnake, UTG-Q-1000, Void Arachne) là một nhóm tội phạm mạng nói tiếng Trung với lịch sử hoạt động từ ít nhất 2024. Nhóm này kết hợp mục tiêu gián điệp (espionage) và lợi ích tài chính, thường sử dụng lure địa phương hóa cao — giả mạo cơ quan thuế, bộ tài chính — để tăng tỷ lệ thành công.
Bộ công cụ của Silver Fox xoay quanh các biến thể của Gh0st RAT: ValleyRAT/Winos 4.0 (backdoor mô-đun chính), HoldingHands RAT/Gh0stBins (được triển khai song song), và gần đây nhất là AtlasCross RAT (ghi nhận từ tháng 3/2026). Nhóm này cũng sử dụng SEO poisoning để phân phối malware qua các trang giả mạo Google Chrome, Telegram, WPS Office, và DeepSeek.
Điểm Hội Tụ: Infrastructure Overlap
Domain pan.tenire[.]com — được dùng để phân phối Chaos agent trong chiến dịch tháng 3/2026 — trước đó đã xuất hiện trong Operation Silk Lure (Seqrite Labs, tháng 10/2025), một chiến dịch phishing của Silver Fox phân phối ValleyRAT. Darktrace không đưa ra attribution cứng, nhưng sự tái sử dụng domain này là tín hiệu đáng chú ý về khả năng chia sẻ hạ tầng trong hệ sinh thái tội phạm mạng Trung Quốc.
2. Timeline Sự Kiện
| Thời gian | Sự kiện |
|---|---|
| Tháng 9/2022 | Lumen Black Lotus Labs lần đầu công bố Chaos botnet — Go-based, cross-platform |
| Tháng 3/2024 | Silver Fox bắt đầu sử dụng Excel lure nhắm vào Trung Quốc để phân phối Winos 4.0 |
| Tháng 8/2025 | Fortinet ghi nhận chiến dịch Silver Fox dùng SEO poisoning phân phối HiddenGh0st và Winos 4.0 |
| Tháng 10/2025 | Operation Silk Lure — Silver Fox phân phối ValleyRAT qua phishing; domain pan.tenire[.]com xuất hiện |
| Tháng 10/2025 | Fortinet FortiGuard Labs công bố Silver Fox mở rộng sang Nhật Bản, Malaysia bằng HoldingHands RAT |
| Tháng 10/2025 | Seqrite Labs đặt tên chiến dịch Silver Fox là Operation Silk Lure |
| Tháng 3/2026 | Darktrace honeypot (CloudyPots) bắt được biến thể Chaos mới nhắm vào Hadoop — dùng pan.tenire[.]com |
| Tháng 3/2026 | Silver Fox triển khai AtlasCross RAT, mở rộng sang Philippines, Thailand, Indonesia, Singapore, Ấn Độ |
| Tháng 4/2026 | Darktrace và The Hacker News công bố báo cáo về biến thể Chaos mới |
3. Phân Tích Kỹ Thuật: Chaos Botnet Biến Thể 2026
3.1 Vector Xâm Nhập — Hadoop ResourceManager
Cuộc tấn công được Darktrace quan sát bắt đầu bằng một HTTP request tới endpoint ResourceManager của Apache Hadoop. Hadoop ResourceManager mở cổng 8088/tcp và cho phép tạo application mới qua REST API — một chức năng hợp lệ trong môi trường production nhưng trở thành RCE không cần xác thực nếu cluster bị expose ra internet mà không có authentication.
Attack Vector: HTTP POST → Hadoop ResourceManager (port 8088)
Payload Type: Application creation with embedded shell commands
Kẻ tấn công tạo một "application" mới nhúng chuỗi lệnh shell để:
- Tải xuống Chaos agent binary từ
pan.tenire[.]com chmod 777— cấp quyền thực thi cho tất cả user- Thực thi binary
- Xóa binary khỏi disk để giảm dấu vết forensic
3.2 Phân Tích Binary — Thay Đổi So Với Phiên Bản Cũ
Mẫu được phân tích là 64-bit ELF binary biên dịch cho x86-64 Linux — khác với các phiên bản Chaos trước vốn nhắm vào ARM/MIPS/PowerPC trên router. Namespace nội bộ đã được tái cấu trúc, nhiều hàm được viết lại.
Các tính năng bị loại bỏ:
- SSH spreader (brute-force SSH key để lan rộng)
- Các routine khai thác CVE router (kế thừa từ Kaiji)
Các tính năng giữ nguyên:
- Persistence via
systemd - Keep-alive script lưu trên disk
- DDoS qua HTTP, TLS, TCP, UDP, WebSocket
Tính năng mới: SOCKS5 Proxy
Trigger: C2 gửi lệnh "StartProxy"
Action: Malware mở listener trên TCP port do attacker chỉ định
Mode: SOCKS5 proxy — route traffic qua máy nạn nhân
Impact: Attacker có thể sử dụng IP của nạn nhân để launch attack tiếp theo
Khả năng SOCKS5 proxy thay đổi hoàn toàn mô hình kiếm tiền của botnet này: thay vì chỉ bán DDoS-for-hire và đào tiền mã hóa, kẻ vận hành giờ có thể bán proxy access — một dịch vụ có giá trị cao trong underground market, đặc biệt hữu ích để bypass geo-restriction và che giấu nguồn gốc của các cuộc tấn công tiếp theo.
3.3 C2 & Infrastructure
C2 Domain (payload delivery): pan.tenire[.]com
Cross-reference: Operation Silk Lure (Silver Fox, Oct 2025) — ValleyRAT distribution
4. Phân Tích Kỹ Thuật: Silver Fox — Winos 4.0 & HoldingHands RAT
4.1 Phishing Chain — PDF lure giả mạo Bộ Tài Chính
Điểm khởi đầu là email phishing chứa PDF giả mạo tài liệu từ Bộ Tài Chính (Ministry of Finance) của từng quốc gia mục tiêu. PDF nhúng nhiều URL độc hại, phần lớn trỏ về Tencent Cloud storage. Fortinet xác nhận các APPID Tencent Cloud cho phép liên kết nhiều file phishing về cùng một operator.
Một PDF giả làm bản dự thảo quy định thuế của Đài Loan redirect người dùng đến trang tiếng Nhật (twsww[.]xin/download[.]html) — nơi nạn nhân được yêu cầu tải file ZIP chứa HoldingHands RAT payload.
4.2 Infection Chain — Malaysia Campaign
Đối với chiến dịch nhắm vào Malaysia, chuỗi lây nhiễm chi tiết hơn:
Bước 1: Executable giả mạo "tài liệu kiểm tra thuế tiêu thụ đặc biệt"
└─ Sideload DLL độc hại
Bước 2: Malicious DLL (dokan2.dll — giả mạo Dokany driver)
└─ Shellcode loader cho sw.dat
Bước 3: sw.dat thực hiện:
├─ Anti-VM checks
├─ Enumerate processes — kiểm tra Avast, Norton, Kaspersky
├─ Terminate security processes nếu phát hiện
├─ Privilege escalation (TrustedInstaller impersonation)
└─ Terminate Task Scheduler
Bước 4: Drop các component vào C:\Windows\System32\
├─ svchost.ini → chứa RVA của VirtualAlloc (evasion kỹ thuật)
├─ TimeBrokerClient.dll
├─ msvchost.dat
└─ system.dat
Bước 5: HoldingHands RAT được giải mã và inject vào memory
└─ Establish C2, gửi host info, heartbeat mỗi 60 giây
4.3 HoldingHands RAT — Khả Năng
HoldingHands RAT (Gh0stBins) là biến thể của Gh0st RAT — source code bị leak năm 2008. RAT hỗ trợ:
- Thực thi lệnh tùy ý
- Download và thực thi file
- Exfiltration: screenshot, clipboard, system metadata
- Cập nhật địa chỉ C2 động qua Windows Registry
- Duy trì persistence qua Task Scheduler
- Terminate security processes
4.4 SEO Poisoning Vector
Song song với phishing, Silver Fox vận hành mạng lưới website giả mạo các phần mềm phổ biến để phân phối Winos 4.0. Danh sách phần mềm bị giả mạo:
Google Chrome | Telegram | Youdao | Sogou AI | WPS Office | DeepSeek
Chiến thuật này nhắm vào người dùng tìm kiếm phần mềm — đặc biệt nguy hiểm trong môi trường doanh nghiệp nơi nhân viên có thể cài phần mềm trực tiếp mà không qua kênh IT.
4.5 Infrastructure Linking — Kết Nối Các Chiến Dịch
Fortinet xác nhận mối liên hệ giữa các chiến dịch qua:
Shared C2 IP: 156.251.17[.]9 (Taiwan và Japan campaigns)
Debug path: BackDoor.pdb (artifact trong binary)
Domain reuse: twczb[.]com → cùng IP với Taiwan campaign → Malaysia campaign
Tencent Cloud APPID: liên kết các file phishing qua biên giới địa lý
5. IOC & Artifacts
Chaos Botnet
# C2 / Payload Delivery
Domain: pan.tenire[.]com
# File characteristics
Type: 64-bit ELF binary (x86-64 Linux)
Feature: SOCKS5 proxy (StartProxy command)
Persist: systemd service
Silver Fox / HoldingHands RAT Campaign
# Network Indicators
IP: 156.251.17[.]9 [Shared C2 - Taiwan/Japan campaigns]
Domain: twsww[.]xin [HoldingHands delivery - Japanese lure]
Domain: twczb[.]com [Malaysia/Taiwan linking domain]
Domain: bifa668[.]com [AtlasCross RAT C2, port 9899/tcp]
# Host-based Indicators
File: dokan2.dll [Shellcode loader - giả mạo Dokany]
File: sw.dat [Second stage payload]
File: svchost.ini [Chứa RVA VirtualAlloc]
File: TimeBrokerClient.dll [Dropped component]
File: msvchost.dat [Dropped component]
File: system.dat [Dropped component]
Path: C:\Windows\System32\ [Drop location]
Debug: BackDoor.pdb [PDB path artifact]
Registry: Dynamic C2 update [HoldingHands RAT - C2 via registry]
# Malware Families
ValleyRAT / Winos 4.0 → primary modular backdoor
HoldingHands RAT → aka Gh0stBins, Gh0st RAT variant
AtlasCross RAT → newer addition (Mar 2026)
Lưu ý: File hash cụ thể chưa được công bố công khai tại thời điểm viết bài. Theo dõi thêm từ Fortinet FortiGuard Labs và Darktrace để cập nhật.
6. MITRE ATT&CK Mapping
Chaos Botnet (2026 Variant)
| Tactic | Technique | ID | Mô tả |
|---|---|---|---|
| Initial Access | Exploit Public-Facing Application | T1190 | Khai thác Hadoop ResourceManager RCE |
| Execution | Command and Scripting Interpreter: Unix Shell | T1059.004 | Shell commands nhúng trong Hadoop application |
| Defense Evasion | Indicator Removal: File Deletion | T1070.004 | Xóa binary sau khi thực thi |
| Persistence | Create or Modify System Process: Systemd Service | T1543.002 | Persistence qua systemd |
| Command and Control | Proxy: Multi-hop Proxy | T1090.003 | SOCKS5 proxy để che giấu nguồn gốc |
| Impact | Network Denial of Service | T1498 | DDoS capability (HTTP/TLS/TCP/UDP/WebSocket) |
| Impact | Resource Hijacking | T1496 | Cryptocurrency mining |
Silver Fox / HoldingHands RAT
| Tactic | Technique | ID | Mô tả |
|---|---|---|---|
| Initial Access | Phishing: Spearphishing Attachment | T1566.001 | PDF độc hại giả mạo Bộ Tài Chính |
| Initial Access | Drive-by Compromise | T1189 | SEO poisoning → fake software sites |
| Execution | Shared Modules | T1129 | DLL sideloading (dokan2.dll) |
| Defense Evasion | Virtualization/Sandbox Evasion | T1497 | Anti-VM checks trong sw.dat |
| Defense Evasion | Hijack Execution Flow: DLL Side-Loading | T1574.002 | sideload malicious DLL |
| Defense Evasion | Masquerading | T1036 | Giả mạo svchost, TimeBrokerClient |
| Privilege Escalation | Abuse Elevation Control Mechanism | T1548 | TrustedInstaller impersonation |
| Discovery | Security Software Discovery | T1518.001 | Kiểm tra Avast, Norton, Kaspersky |
| Discovery | Process Discovery | T1057 | Enumerate active processes |
| Defense Evasion | Impair Defenses: Disable or Modify Tools | T1562.001 | Terminate security processes |
| Persistence | Scheduled Task/Job: Scheduled Task | T1053.005 | Task Scheduler abuse |
| Command and Control | Application Layer Protocol | T1071 | C2 qua TCP, heartbeat mỗi 60 giây |
| C2 | Dynamic Resolution | T1568 | Cập nhật C2 address qua Windows Registry |
| Collection | Screen Capture | T1113 | Screenshot exfiltration |
| Collection | Clipboard Data | T1115 | Clipboard data exfiltration |
| Exfiltration | Exfiltration Over C2 Channel | T1041 | Data exfil qua kênh C2 |
7. Nhận Định Chuyên Gia
7.1 Về Chaos Botnet: Từ "Destructive" sang "Profitable"
Việc loại bỏ SSH spreader và router exploit — hai tính năng đặc trưng của Chaos — để thay bằng SOCKS5 proxy không phải là suy thoái kỹ thuật. Đây là quyết định kinh doanh có chủ đích.
SSH brute-force tạo noise cao, dễ bị detection và blocklist. Router exploits đòi hỏi maintain danh sách CVE liên tục. SOCKS5 proxy, ngược lại, là dịch vụ "im lặng" — traffic pass-through hầu như không tạo alert trong môi trường thiếu network monitoring đủ sâu. Trong underground market, proxy residential (IP từ máy tính thực, không phải datacenter) được bán với giá premium vì khó bị block hơn nhiều so với IP datacenter.
Biến thể 2026 cũng báo hiệu sự dịch chuyển target của toàn bộ nhóm botnet từ "edge device" sang "cloud workload". Điều này không có gì ngạc nhiên: cloud adoption tăng nhanh nhưng security posture của nhiều tổ chức chưa theo kịp, đặc biệt với các framework big data như Hadoop, Spark vốn được thiết kế cho môi trường trusted internal network nhưng lại bị expose ra internet.
Trong thực tế quan sát của chúng tôi, các cổng quản trị Hadoop (8088, 9870, 16010) thường bị quét mà không có firewall rule phù hợp, đặc biệt trên các cluster được dựng nhanh cho dự án data analytics không qua review security.
7.2 Về Silver Fox: Chiến Lược Dual-Track Đáng Lo Ngại
Silver Fox là ví dụ rõ nét của threat actor vận hành theo mô hình kép: espionage song song với tội phạm tài chính. Sự tái sử dụng infrastructure với Chaos botnet (dù chưa xác nhận chắc chắn) gợi ý rằng ranh giới giữa APT-style và cybercrime ngày càng mờ nhạt trong hệ sinh thái tội phạm mạng Trung Quốc.
Lure thuế vụ cho thấy nhóm này đầu tư đáng kể vào social engineering có bối cảnh văn hóa. PDF giả mạo quy định thuế Đài Loan redirect sang trang tiếng Nhật — một chi tiết nhỏ nhưng thể hiện sự chuẩn bị kỹ lưỡng. Với các quốc gia Đông Nam Á, khả năng Silver Fox cũng sẽ triển khai lure bằng tiếng địa phương (tiếng Việt, Bahasa, Thai) là hoàn toàn thực tế, đặc biệt khi nhóm đã xác nhận mục tiêu ở Malaysia và đang mở rộng sang Philippines, Thailand, Indonesia, Singapore.
7.3 Mối Liên Hệ Infrastructure — Đánh Giá Của Chúng Tôi
Infrastructure overlap giữa Chaos và Silver Fox qua domain pan.tenire[.]com có thể giải thích theo vài cách: (1) cùng threat actor vận hành cả hai chiến dịch, (2) thuê mướn/mua chung infrastructure từ cùng một Criminal Service Provider, (3) coincidence (khả năng thấp). Darktrace không đưa ra attribution cứng và chúng tôi đồng ý với thái độ thận trọng đó. Tuy nhiên, sự kiện này nhắc nhở rằng tracking infrastructure reuse là kỹ thuật attribution hiệu quả hơn tracking malware family — malware có thể được viết lại hoàn toàn, nhưng domain/IP thường được tái sử dụng vì lý do kinh tế.
8. Khuyến Nghị
Immediate (0–24h)
Đối với cloud workload:
# Kiểm tra Hadoop ResourceManager có expose ra internet không
# Từ bên ngoài mạng, thử:
curl http://<HADOOP_RESOURCEMANAGER_IP>:8088/ws/v1/cluster/info
# Nếu có phản hồi → URGENT: firewall ngay
# Port cần block từ internet: 8088, 9870, 8042, 16010, 19888
# Kiểm tra các process bất thường trên Linux cloud hosts
ps aux | grep -E "(chaos|kaiji|miner|xmrig)"
systemctl list-units --type=service | grep -v -E "(known_service_list)"
# Kiểm tra systemd service mới tạo gần đây
find /etc/systemd/system/ -newer /etc/passwd -name "*.service"
Hunting query cho SIEM (Sentinel KQL):
// Detect potential Chaos SOCKS proxy activity
// Unusual outbound TCP connections from Linux hosts acting as proxy
CommonSecurityLog
| where TimeGenerated > ago(24h)
| where DeviceVendor == "Linux" or DeviceProduct contains "syslog"
| where DestinationPort !in (80, 443, 22, 53)
| where SourceIP in (internal_cloud_hosts) // thay bằng IP range thực tế
| summarize ConnectionCount = count(), DestPorts = make_set(DestinationPort)
by SourceIP, DestinationIP, bin(TimeGenerated, 1h)
| where ConnectionCount > 100
| order by ConnectionCount desc
// Detect Hadoop ResourceManager exploitation attempt
AzureDiagnostics
| where TimeGenerated > ago(24h)
| where Category == "ApplicationGatewayAccessLog"
| where requestUri_s contains "/ws/v1/cluster/apps"
and httpMethod_s == "POST"
| project TimeGenerated, clientIP_s, requestUri_s, httpStatus_d
Đối với endpoint (Silver Fox / HoldingHands):
// Detect sideloading pattern
DeviceProcessEvents
| where FileName in~ ("dokan2.dll", "TimeBrokerClient.dll", "msvchost.dat")
or FolderPath contains @"C:\Windows\System32\svchost.ini"
| project Timestamp, DeviceName, InitiatingProcessFileName, FileName, FolderPath
// Detect TrustedInstaller impersonation
DeviceProcessEvents
| where TimeGenerated > ago(7d)
| where ProcessTokenElevation == "TokenElevationTypeFull"
and InitiatingProcessAccountName !in~ ("SYSTEM", "TrustedInstaller")
and FileName in~ ("svchost.exe", "services.exe")
| project TimeGenerated, DeviceName, AccountName, FileName, InitiatingProcessFileName
Short-term (1–7 ngày)
Network segmentation:
- Audit toàn bộ các service port của Hadoop/Spark/HDFS cluster. Mọi administrative endpoint (ResourceManager, NameNode UI, History Server) phải nằm sau VPN hoặc internal network, không expose thẳng ra internet.
- Review security group rules trên cloud providers (AWS Security Groups, Azure NSG, GCP Firewall Rules) — tập trung vào các rule có source
0.0.0.0/0trên các port không phải 80/443.
Threat hunting:
- Check DNS query logs cho các domain trong IOC list, đặc biệt
pan.tenire[.]com,twsww[.]xin,twczb[.]com. - Tìm các file
svchost.ini,msvchost.dat,system.dattrongC:\Windows\System32\— các tên file này không tồn tại trong Windows mặc định. - Review các Task Scheduler entry được tạo từ process không phải SYSTEM hoặc user admin thực sự.
User awareness:
- Brief nhân viên về PDF lure giả mạo tài liệu thuế, đặc biệt nếu tổ chức có nhân viên hoặc hoạt động liên quan đến Nhật Bản, Malaysia, Đài Loan.
Long-term
Cloud security posture:
- Triển khai Cloud Security Posture Management (CSPM) để tự động phát hiện misconfiguration — đặc biệt là các service expose không cần thiết.
- Với Hadoop cluster: bật Kerberos authentication và wire encryption. Hadoop Secure Mode không phải tuỳ chọn trong môi trường production tiếp xúc internet.
Detection engineering:
- Xây dựng detection rule cho "binary drop + execute + delete" pattern trên Linux hosts — một anti-forensics pattern phổ biến nhưng thường thiếu coverage trong SIEM.
- Bổ sung behavioral analytics cho SOCKS proxy abuse: Linux host với số lượng outbound TCP connection bất thường, đặc biệt nếu kết hợp với
systemdservice mới tạo.
Threat intelligence:
- Subscribe feed từ Darktrace, Fortinet FortiGuard Labs, và Sekoia.io để nhận IOC cập nhật về Silver Fox và Chaos botnet.
- Monitor MISP hoặc các platform OSINT TI để track
pan.tenire[.]comvà infrastructure liên quan.
9. Sigma Rules — Detection
title: Chaos Botnet - Hadoop RCE Exploitation Pattern
id: [NEEDS VERIFICATION: Generate UUID]
status: experimental
description: Detects HTTP POST to Hadoop ResourceManager /ws/v1/cluster/apps endpoint
indicating potential Chaos botnet exploitation of misconfigured Hadoop
references:
- https://www.darktrace.com/blog/darktrace-identifies-new-chaos-malware-variant-exploiting-misconfigurations-in-the-cloud
logsource:
category: webserver
detection:
selection:
cs-method: POST
cs-uri-stem|contains: '/ws/v1/cluster/apps'
cs-uri-stem|contains: 'newApp'
condition: selection
falsepositives:
- Legitimate Hadoop job submission from authorized orchestration systems
level: high
tags:
- attack.initial_access
- attack.t1190
---
title: Suspicious File Artifacts - HoldingHands RAT Indicators
id: [NEEDS VERIFICATION: Generate UUID]
status: experimental
description: Detects presence of files associated with HoldingHands RAT infection chain
logsource:
product: windows
category: file_event
detection:
selection:
TargetFilename|contains:
- 'C:\Windows\System32\svchost.ini'
- 'C:\Windows\System32\msvchost.dat'
- 'C:\Windows\System32\system.dat'
- 'C:\Windows\System32\TimeBrokerClient.dll'
condition: selection
falsepositives:
- None expected — these filenames should not exist in stock Windows
level: critical
tags:
- attack.defense_evasion
- attack.t1036
---
title: SOCKS Proxy Listener - Potential Botnet Activity
id: [NEEDS VERIFICATION: Generate UUID]
status: experimental
description: Detects processes opening TCP listeners on high ports, potentially
indicating SOCKS proxy functionality from malware like Chaos botnet
logsource:
product: linux
category: network_connection
detection:
selection:
Initiated: 'false' # incoming/listening
DestinationPort|gte: 10000
DestinationPort|lte: 65535
filter_known:
Image|contains:
- '/usr/bin/python'
- '/usr/sbin/nginx'
- '/usr/sbin/apache'
condition: selection and not filter_known
falsepositives:
- Legitimate high-port services (adjust filter_known as needed)
level: medium
tags:
- attack.command_and_control
- attack.t1090.003
10. Tài Liệu Tham Khảo
Darktrace — "Darktrace Identifies New Chaos Malware Variant Exploiting Misconfigurations in the Cloud" (April 2026)
https://www.darktrace.com/blog/darktrace-identifies-new-chaos-malware-variant-exploiting-misconfigurations-in-the-cloudThe Hacker News — "New Chaos Variant Targets Misconfigured Cloud Deployments, Adds SOCKS Proxy" (April 8, 2026)
https://thehackernews.com/2026/04/new-chaos-variant-targets-misconfigured.htmlThe Hacker News — "Researchers Warn of New Go-based Malware Targeting Windows and Linux Systems" (September 2022)
https://thehackernews.com/2022/09/researchers-warn-of-new-go-based.htmlFortinet FortiGuard Labs — "Silver Fox Expands Winos 4.0 Attacks to Japan and Malaysia via HoldingHands RAT" (October 2025)
https://thehackernews.com/2025/10/silver-fox-expands-winos-40-attacks-to.htmlSekoia.io — "Silver Fox: The Only Tax Audit Where the Fine Print Installs Malware" (March/April 2026)
https://blog.sekoia.io/silver-fox-the-only-tax-audit-where-the-fine-print-installs-malware/The Hacker News — "Silver Fox Expands Asia Cyber Campaign with AtlasCross RAT and Fake Domains" (March 2026)
https://thehackernews.com/2026/03/silver-fox-expands-asia-cyber-campaign.htmlHelp Net Security — "Chaos malware expands from routers to Linux cloud servers" (April 2026)
https://www.helpnetsecurity.com/2026/04/08/chaos-malware-cloud-misconfigured-servers/
