🐟 FishMonger 해킹 그룹, 전 세계 정부·싱크탱크 겨냥한 'FishMedley' 스파이 작전 🕵️‍♂️🌐

최근 미국 FBI의 ‘가장 지명수배자 리스트’에 오른 해커 그룹 FishMonger(피쉬몽거),
혹은 Aquatic Panda(아쿠아틱 팬더)가 전 세계 고위급 기관을 대상으로 장기적이고 정교한 사이버 첩보 작전을
벌이고 있다는 사실이 공개됐습니다.

📌 이 작전의 이름은 바로 "FishMedley(피쉬메들리)".
보안 기업 ESET의 분석에 따르면, 이 그룹은 중국 정부와 직접 연결된 사설 해커 용병 조직으로,
주요 정보기관을 위해 활동하고 있는 것으로 드러났습니다. 😨

---

🎯 FishMonger, 누구인가요?

FishMonger는 중국 상하이에 위치한 iSoon(아이순) 이라는 보안 회사의 외주 해커 그룹입니다.
iSoon은 겉으로는 사이버보안 교육 업체처럼 보이지만, 실제로는 중국 공안부, 국가안전부, 인민해방군 등
국가 기관을 위한 사이버 첩보 용역을 수행하는 조직입니다.

이들의 주요 목표는 중요 기밀 정보 탈취이며, 공격 대상은 다음과 같습니다:

• 🏛️ 정부 기관
• 🧠 싱크탱크
• 🌍 비정부기구(NGO)
• 📡 외교 정책 분석 기관

🎯 대상 국가도 매우 광범위합니다:
🇹🇼 대만, 🇹🇷 터키, 🇹🇭 태국, 🇭🇺 헝가리, 🇺🇸 미국, 🇫🇷 프랑스 등

---

🧪 FishMonger의 해킹 방식은?

흥미롭게도 FishMonger는 제로데이(미공개 취약점)나 최신 해킹 도구를 사용하지 않습니다.
대신, 이미 잘 알려진 도구와 전술만으로도 효율적으로 침입합니다.

주요 사용 도구:

1. ShadowPad – 중국 해커들이 자주 사용하는 모듈형 백도어
2. Spyder Loader – 감염된 장치에 악성코드를 로드하는 도구
3. SodaMaster – 2021년 분석된 이후 거의 변경되지 않은 공격 도구
4. RPipeCommander – ESET이 새롭게 명명한 역방향 쉘(reverse shell)

🧩 이들 도구는 이미 사이버 보안 커뮤니티에서 널리 알려져 있으며, 특별히 새롭지는 않지만
FishMonger는 “적은 노력으로 큰 성과”를 내는 대표적 해커 그룹이라 평가받고 있습니다.

---

🔓 최초 침입은 어떻게?

FishMonger가 시스템에 어떻게 처음 접근했는지는 ESET도 명확히 파악하지 못했지만, 대부분의 경우
도메인 관리자 계정 등 고위 권한을 가진 사용자 계정을 먼저 탈취한 것으로 보입니다.

즉, 처음부터 높은 권한으로 접근함으로써 방어 체계를 무력화하고, 내부에 오랜 시간 머무를 수 있었던 것이죠.

---

🛡️ 어떻게 방어할 수 있을까?

ESET은 다음과 같은 보안 수칙을 권장합니다:

✅ 의심스러운 행위 탐지를 위한 로그 정밀 분석
✅ ShadowPad 및 Spyder Loader 관련 IOC(침해 지표) 확인
✅ 관리자 계정의 이중 인증(MFA) 적용 및 권한 최소화
✅ 정기적인 계정 비밀번호 변경 및 사용 이력 점검
✅ 보안 솔루션을 통한 역방향 쉘 탐지 구성

특히 싱크탱크, 외교기관, 연구소 등은 주요 타깃이 될 수 있으므로 보안 감시를 더욱 강화해야 합니다.

---

🔎 마무리 요약

“FishMonger는 정교하진 않지만, 치밀하고 집요한 스파이 조직입니다.”

• 중국 정부를 위해 활동하는 민간 해커 용병 조직
• 단순한 도구만으로도 전 세계 고위 기관 침입 성공
• 중요한 것은 기술이 아닌 전략과 인내심

국제 안보 환경이 복잡해지는 만큼, 사이버 영역의 스파이 활동도 훨씬 더 은밀하고 광범위해지고 있습니다.
지금 이 순간에도 FishMonger와 같은 조직은 조용히 누군가의 서버에서 데이터를 수집하고 있을지도 모릅니다... 👀