또 하루, 또 다른 국가 배후의 사이버 스파이극이다. 이번의 주역은 중국 연계 세력이며, 표적의 스펙트럼은 참으로 놀랍다. 파키스탄부터 폴란드까지 각국 정부, 국방 부문, 민감한 사안을 파헤치는 기자들, 그리고 베이징의 심기를 건드리는 활동가들까지.
트렌드마이크로는 이번 공격을 SHADOW-EARTH-053이라 명명했다. 이들은 적어도 12월부터 활동해 왔으며, 다른 악성 세력과 일부 연관성을 주장하지만 그 수법은 익숙하다 못해 소름 끼친다. 마이크로소프트 익스체인지와 IIS 서버의 알려진 취약점을 악용? 체크. 웹 쉘(Godzilla)을 심어 지속적인 접근 권한 확보? 체크. 여기에 DLL 사이드로딩 기법을 이용해 ShadowPad 악성코드까지 덧씌운다. 익숙한 공격 playbook의 최신판인 셈이다.
희생자 목록은 지정학적 긴장의 축을 그대로 보여준다. 파키스탄, 태국, 말레이시아, 인도, 미얀마, 스리랑카, 대만. 여기에 유럽에서는 폴란드, 유일한 나토 회원국이 이번 덫에 걸린 것으로 보인다. SHADOW-EARTH-053의 피해 대상 중 거의 절반, 특히 말레이시아, 스리랑카, 미얀마의 경우 이전에도 관련 조직인 SHADOW-EARTH-054에게 침해당한 적이 있다. 직접적인 공조는 없었다고 하지만, 글쎄올시다.
초기 침투는 디지털 시대의 무차별 대입 공격이라 할 수 있다. 패치가 되지 않은 취약점을 파고드는 것이다. 일단 침투하면 원격 조종을 위한 백도어 역할을 하는 웹 쉘을 심는다. 여기서부터는 정찰, 그리고 ShadowPad 백도어 배포다. 모든 과정에 DLL 사이드 로딩이라는, 악성 코드를 정상 프로그램처럼 보이게 만드는 교묘한 기법이 동원된다.
심지어 React2Shell 취약점을 무기화해 Noodle RAT의 리눅스 버전을 유포하기도 했다. RAT라니. 구글 위협 인텔리전스는 이 일련의 공격을 UNC6595와 연계했다. IOX, GO Simple Tunnel, Wstunnel 같은 오픈소스 도구는 터널링에 사용됐다. RingQ는 바이너리 패킹에, Mimikatz는 권한 상승에, Sharp-SMBExec는 내부망 확산에 쓰였다. 온갖 악성 도구의 향연이다.
트렌드마이크로의 조언은 예상대로 시스템 패치다. 지극히 당연하다. 하지만 잠정적인 해결책으로 침입 방지 시스템(IPS)이나 웹 방화벽(WAF) 사용을 제안하기도 한다. ‘가상 패치’라고 부르더군. 마치 모든 조직이 즉각적이고 맞춤형 방어에 필요한 자원을 갖추고 있다는 듯이 말이다.
GLITTER CARP와 SEQUIN CARP: 치명적인 속삭임
정부 대상 스파이 활동이 전부는 아니다. 시티즌랩은 중국 연계 그룹인 GLITTER CARP와 SEQUIN CARP에 대한 또 다른 폭탄 선언을 내놓았다. 이들의 주된 수법은? 기자와 시민 사회 단체를 노리는 것이다. 위구르, 티베트, 대만, 홍콩 출신 활동가들… 불편한 진실을 보도하거나 항의하는 이들이 늘 그렇듯 말이다. 이들 캠페인은 4월과 6월에 포착됐다.
GLITTER CARP는 특히 국제탐사보도언론인협회(ICIJ) 소속 기자들을 속이기 위해 사람이나 기술 회사 보안 경고를 사칭하는 데 열을 올렸다. SEQUIN CARP는 ICIJ 소속 기자 Scilla Alecci와 베이징에 민감한 사안을 다루는 다른 기자들을 겨냥했다. 이들은 여러 대상을 상대로 동일한 인프라, 동일한 도메인, 동일한 사칭 인물을 활용했다. 일상적인 사이버 보안처럼 위장한 산업 규모의 허위 정보 유포 및 감시 작전인 셈이다.
GLITTER CARP는 대만의 반도체 산업에 대한 피싱 공격에도 가담했다. 프루프포인트는 지난 7월 이를 ‘UNK_SparkyCarp’라 명명하며 일부를 포착했다. 한편 SEQUIN CARP는 Volexity의 UTA0388 및 트렌드마이크로의 TAOTH와 연관이 있다. 모든 것이 얽혀, 영향력 행사와 침투의 복잡한 망을 형성하고 있다.
이들의 목표는? 이메일 계정 탈취, 피싱 페이지를 통한 정보 수집, 혹은 제3자 OAuth 토큰을 건네도록 타겟을 사회 공학적으로 조종하는 것이다. GLITTER CARP는 이메일 열람 여부를 확인하기 위해 1x1 추적 픽셀까지 사용한다. 사소한 디테일, 하지만 엄청난 파장이다.
이는 단순한 데이터 절도가 아니다. 반대 의견 억압, 정보 통제, 그리고 민주주의 과정 약화를 목표로 한다. 사용되는 기술은 정교하고, 수법은 집요하며, 표적은 진실을 말하거나 폭로할 용기를 가진 이들이다. 사이버 전장은 단순한 기업 스파이를 넘어선다는 차가운 경고다.
“이 조직은 인터넷에 노출된 마이크로소프트 익스체인지 및 인터넷 정보 서비스(IIS) 서버의 N일짜리 취약점(예: ProxyLogon 체인)을 악용하고, 웹 쉘(Godzilla)을 배포하여 지속적인 접근 권한을 확보한 뒤, 합법적으로 서명된 실행 파일의 DLL 사이드 로딩을 통해 ShadowPad 악성코드를 심습니다.”
이는 단순히 취약점을 패치하는 것을 넘어, 지속적이고 자금이 풍부한 사이버 작전의 이면에 있는 동기를 이해해야 한다는 의미다. 기업과 정부가 익스플로잇에 대응하느라 분주한 사이, 진정한 싸움은 정보를 통제하고 반대 세력을 억압하려는 자들과 벌어지고 있다. 그리고 솔직히 말해, 우리는 이제 막 그 싸움의 시작을 이해하기 시작했을 뿐이다.
왜 기자에게 중요한가?
정부를 대상으로 사용되던 도구가 이제 제4의 권부인 언론을 겨냥하고 있기 때문이다. 사칭, 정교한 피싱, 계정 탈취는 더 이상 경쟁국을 상대로 한 국가 지원 스파이 활동만의 전유물이 아니다. 특히 인권 유린이나 지정학적 긴장과 같은 민감한 사안을 조사하는 기자들은 이제 최전선 표적이 된 것이다. 그들의 통신과 취재원을 접근하는 능력은 탐사 보도, 나아가 공적 책임성에 대한 직접적인 위협이다. 이번 캠페인은 단순한 데이터 유출이 아니라, 자유 언론에 대한 공격이다.
SHADOW-EARTH-053은 Godzilla를 어떻게 사용하는가?
SHADOW-EARTH-053은 Godzilla 웹 쉘을 침해된 시스템에 지속적인 접근 권한을 확보하는 핵심 구성 요소로 활용한다. 취약점 악용을 통해 초기 침투에 성공한 후, 위협 행위자는 Godzilla를 배포하여 명령 및 제어 인터페이스 역할을 하게 한다. 이를 통해 원격으로 임의 명령을 실행하고, 피해자 네트워크를 정찰하며, 최종적으로 ShadowPad와 같은 추가 악성코드를 심는 등 은밀한 존재를 유지한다.
DLL 사이드 로딩이란 무엇인가?
DLL 사이드 로딩은 합법적이고 서명된 실행 파일이 악성 동적 링크 라이브러리(DLL) 파일을 로드하도록 속이는 기법이다. 정상 프로그램이 시작될 때, 특정 위치에서 필요한 DLL을 찾는다. 여기에는 프로그램 자체의 디렉토리도 포함된다. 만약 같은 디렉토리에 예상되는 이름의 악성 DLL이 존재한다면, 프로그램은 해당 DLL을 로드하고 실행하게 된다. 결과적으로 공격자는 신뢰할 수 있는 애플리케이션을 가장하여 자신의 코드를 실행할 수 있게 된다.
🧬 관련 인사이트
자주 묻는 질문
SHADOW-EARTH-053은 무엇을 하는가?
SHADOW-EARTH-053은 스파이 활동을 벌이는 중국 연계 위협 세력이다. 주로 취약점 악용, 지속적인 접근을 위한 웹 쉘 배포, 그리고 ShadowPad와 같은 악성코드를 이용한 정보 탈취를 통해 정부 및 국방 부문을 표적으로 삼는다.
기자들이 정말 중국 해커의 표적이 되고 있는가?
그렇다. 시티즌랩이 확인한 GLITTER CARP와 SEQUIN CARP와 같은 그룹들은 정교한 피싱 및 사칭 기법으로 기자와 활동가들을 특정하여 계정을 탈취하고 민감한 정보에 접근하려 한다.
이러한 익스플로잇에 대해 걱정해야 하는가?
정부, 국방 부문 소속이거나 민감한 사안을 조사하는 기자라면, 네, 매우 심각하게 우려해야 한다. 일반 사용자 역시 소프트웨어를 최신 상태로 유지하고 의심스러운 링크와 이메일에 주의하는 등 좋은 사이버 위생을 실천해야 한다.
