중국 연계 해킹조직, 동남아 외교관 대상 해킹 공격 감행

By곽중희

다단계 공격 통해 백도어 심어, 구글 “정부 지원 간첩 활동”

구글 위협 인텔리전스 그룹(GTIG)은 중국 연계 해킹조직 ‘UNC6384’가 동남아시아 외교관과 국제기구를 겨냥해 웹 트래픽을 탈취하고 악성코드를 배포한 정황을 포착했다고 26일 밝혔다. GTIG는 이번 공격을 중국의 전략적 이익을 위한 사이버 간첩 활동으로 분석했다.

GTIG에 따르면, 해커들은 ‘캡티브 포털 리디렉션(네트워크 접속 전 특정 웹페이지로 강제 연결하는 기능)’을 악용해 사용자의 브라우저 트래픽을 가로채고, 정상 소프트웨어 업데이트로 위장한 악성 플러그인을 내려보냈다. 이어 다단계 감염 과정을 거쳐 최종적으로 ‘SOGU.SEC(PlugX)’ 백도어를 피해자 PC 메모리에 설치했다.

이 과정에서 ▲중간자 공격(AitM) ▲정상 기관에서 발급받은 TLS·코드 서명 인증서 ▲사회공학 기법을 동원해 탐지를 회피했다. 악성 실행 파일에는 중국 청두 소재 ‘누오신 타임스 테크놀로지’ 명의의 유효 인증서가 사용된 사실도 드러났다.

GTIG는 UNC6384가 ‘머스탱 판다(Temp.Hex)’ 등 다른 중국 배후 그룹과 인프라와 기법을 공유하는 것으로 보인다고 지목했다. 두 그룹 모두 DLL 사이드로딩 기법을 활용해 같은 유형의 백도어를 심고, 동남아시아 정부·외교 네트워크를 주요 표적으로 삼고 있다는 설명이다.

GTIG는 “해당 캠페인으로부터 피해를 입은 모든 지메일·워크스페이스 사용자에게 경고를 발송했고, 관련 도메인과 해시 정보를 안전 브라우징 차단 목록에 추가했다”며 “사용자들은 2단계 인증과 최신 보안 업데이트를 반드시 적용해야 한다”고 당부했다.

한편, 앞서 고려대학교 정보보호대학연 연구팀은 이달초 미국 해킹 잡지가 공개한 ‘APT-Down Revisited’ 보고서에서 공개된 북한 정찰총국 산하 해커조직 김수키 관련 문건에 대해 북한이 아니라 중국계 국가 지원 해커일 가능성이 높다고 분석한 바 있다. 연구팀에 따르면, 중국 국적으로 추정되는 해커는 외교부 등 국내 주요 정부조직과 주요 통신사 등 기업을 공격 대상으로 삼았다. 연구팀은 이반티(Ivanti) SSL VPN 제로데이(CVE-2025-0282) 악용 방식, DLL 사이드로딩·파일리스 백도어 같은 전술·기술·절차(TTP)와 간체 중국어 주석, 중국 표준시 근무시간대에 집중된 활동 패턴 등을 근거로 공격 주체가 중국 해커일 가능성이 높다고 평가했다.

글. 바이라인네트워크
<곽중희 기자> god8889@byline.network

사람을 위한 보안을 취재합니다. 끝까지 배우며 글로 나아가겠습니다.

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다


The reCAPTCHA verification period has expired. Please reload the page.