시큐리티팩트
댓글 0
기사입력
: 2025.08.29 15:19
[시큐리티팩트=김상규 기자] 카스퍼스키, 구글 위협 인텔리전스 그룹(GTIG) 등 글로벌 사이버 보안 기업들이 지난해부터 최근까지 아태지역에서 국가 기밀, 군사 정보 등 다양한 고급 데이터를 끈질기게 노리는 주요 사이버 첩보 APT 그룹들을 공개했다.
카스퍼스키가 꼽은 주요 APT 그룹은 다음과 같다.
▶SideWinder : SideWinder는 ‘아시아태평양 지역에서 가장 공격적인 위협’으로 불리는 APT 그룹이다. 이들은 정교한 공격 플랫폼과 스피어피싱을 통해 정부, 군사, 외교 기관을 겨냥한다.
이 그룹은 방글라데시, 캄보디아, 베트남 등의 해양 분야와 중국, 인도, 몰디브의 물류 산업에 지속적인 관심을 보이고 있다. 지난해의 경우 스리랑카, 네팔, 미얀마, 인도네시아, 필리핀을 비롯해 남아시아 전역의 원자력 발전소 및 에너지 시설에 대한 공격에 집중했다.
원자력 기반시설을 겨냥할 때는 규제 또는 시설 운영 관련된 것처럼 보이는 매우 정교한 스피어피싱 이메일을 사용한다. 이메일을 열면 악성코드 체인이 작동되어 운영 데이터, 연구 자료, 인사 정보 등에 접근할 수 있게 된다.
▶Spring Dragon (aka Lotus Blossom) : 이 그룹은 베트남, 대만, 필리핀에 관심을 가지며, 스피어피싱, 익스플로잇, 워터링 홀 공격(Watering Hole Attack)을 통해 피해자의 시스템에 침투한다. 카스퍼스키 연구진에 따르면 이들은 동남아시아 정부 기관을 대상으로 10년간 약 1000건 이상의 공격을 시도했다.
▶Tetris Phantom : 이 APT 그룹은 2023년 특수 보안 USB 드라이브를 겨냥한 고급 악성코드를 처음 배포했다. 2024년부터는 BoostPlug와 DeviceCync(ShadowPad, PhantomNet, Ghost RAT을 감염시키는 도구)라는 두 개의 공격 도구를 추가했다.
▶HoneyMyte : 미얀마와 필리핀을 포함한 동남아시아의 정부 및 외교 기관에서 민감한 정치 및 전략 정보를 탈취하는 것으로 알려진 이 위협 행위자는 2024년부터 2025년까지 다양한 로더를 통해 ToneShell 악성코드를 배포하고 있다.
▶ToddyCat : 2020년부터 말레이시아의 고위급 타깃을 주요 목표로 삼고 있는 이 그룹은 공개된 코드를 기반으로 악성 도구를 개발해 정당한 보안 소프트웨어를 우회하며 은밀하게 접근을 유지한다.
▶Lazarus : 악명 높은 ‘방글라데시 중앙은행 해킹 사건(Bangladesh Bank Heist)’으로 잘 알려진 해킹 그룹이다. 국가 배후의 이 APT 그룹은 사이버 첩보와 금전적 동기를 모두 가진 주요 위협 행위자로 APAC 지역에서 활발히 활동하고 있다. 올해 초, 카스퍼스키 GReAT 전문가들은 한국 내 조직을 겨냥한 ‘Operation SyncHole’이라는 라자루스의 새로운 캠페인을 포착했다.
이 캠페인은 워터링 홀 공격과 제3자 소프트웨어의 취약점 악용을 결합한 것이었다. 조사중 인노릭스 에이전트(Innorix Agent) 소프트웨어에서 제로데이 취약점(Zero-day Vulnerability)도 발견되었다. 최소 6곳 이상의 한국 주요 기업이 타깃이었으며, 실제 피해 기업 수는 더 많을 수 있다.
▶Mysterious Elephant : 2023년 5월 카스퍼스키가 처음 관찰한 이 그룹은 명령 실행 및 파일 조작이 가능한 새로운 백도어 계열(Backdoor Families)을 배포하며, 기존의 Dropping Elephant, Origami Elephant, Bitter, Confucius, Side 등의 기술과 유사하거나 중복되기도 한다. 2025년에는 파키스탄, 스리랑카, 방글라데시를 타깃으로 새로운 도구와 기술을 지속적으로 추가하고 있다.
이번 주요 APT 그룹을 공개한 카스퍼스키 GReAT의 수석 보안 연구원 누신 샤밥은 “금전적 이득을 노리는 일반적인 사이버 범죄자들과 달리, 정부, 군사 기밀, 전략적 정보를 노리는 공격자들은 국가 지원을 받는 경우가 많다”며 “아시아태평양 지역의 주요 APT 활동을 살펴보면, 이들이 단순한 데이터 탈취가 아닌, 지정학적 우위를 점하기 위한 전략적 행동이라는 점을 알 수 있다”고 말했다.
한편 구글 위협 인텔리전스 그룹(GTIG)은 중국과 연계한 UNC6384를 선정했다.
▶UNC6384 : 구글 위협 인텔리전스 그룹(GTIG∙Google Threat Intelligence Group)은 지난 3월 중국 연계 해킹 그룹 UNC6384가 동남아시아의 외교관 및 전 세계 기관을 상대로 복잡하고 다면적인 해킹 공격을 감행한 것을 확인했다. 이들은 중간자 공격(Adversary-in-the-Middle)을 통해 피해자의 웹 트래픽을 가로채 악성 웹 사이트로 리디렉션하는 수법을 사용했다.
이후 소셜 엔지니어링 기법을 사용해 피해자가 어도비(Adobe) 플러그인 업데이트 파일로 위장한 악성 소프트웨어를 다운로드 하도록 유도했다. 악성 소프트웨어가 설치된 후 위협 행위자는 피해자의 컴퓨터 메모리에 SOGU.SEC라는 이름의 은밀한 백도어를 설치해 탐지를 회피했다.
해당 파일은 디지털 서명까지 되어 있어 일반적으로 유효한 디지털 서명을 가진 파일을 신뢰하는 엔드포인트 보안 보호 조치를 우회할 수 있었다. 이 해킹그룹과 관련해 GTIG측은 중국의 전략적 이익에 부합하는 사이버 스파이 작전을 지원하기 위한 것일 가능성이 높다고 평가했다.
