🐼 Mustang Panda의 신무기 공개! 중국 APT 그룹의 사이버 무기 창고가 업그레이드되었습니다

🧠 Mustang Panda란?

‘Mustang Panda’는 중국 정부와 연계된 것으로 알려진 국가 지원 해킹 그룹(APT)입니다.
다른 이름으로는 Bronze President, Stately Taurus, TA416 등으로도 불리며,
다음과 같은 대상들을 주요 타깃으로 삼아 첩보 활동을 벌여온 것으로 분석되고 있습니다:

• 군/정부 조직
• 국제 NGO 및 인권 단체
• 싱크탱크 및 소수 민족
• 동남아시아 및 서방 산업 기업

최근 미얀마 기반의 조직을 공격하면서 이 그룹이 새롭게 배포 중인 공격 도구들이 드러났습니다.

---

🔍 확인된 4가지 신규 악성코드 + 백도어 업그레이드

Zscaler의 분석 결과, 이번 공격에서 이전과는 다른 새로운 툴셋이 다수 확인되었습니다.

🧷 1. PAKLOG – 키 입력 + 클립보드 감시기

• 키보드 입력과 복사된 텍스트(clipboard)를 수집
• 로컬에 파일 형태로 저장
• 별도 C2 통신 없음 → 공격자가 직접 회수하거나 다른 도구와 연계하여 탈취

🔐 2. CorKLOG – 더 은밀한 키로거

• PAKLOG와 유사하지만, 암호화된 방식으로 데이터를 저장
• 지속성(persistence) 확보 기능 강화
• 마찬가지로 직접적 C2는 없음

🧬 3. StarProxy – 내부 확산용 프록시 도구

• 감염된 PC를 중계 서버로 활용해 다른 PC로 lateral movement
• 외부 인터넷이 단절된 내부망까지 연결 가능
• FakeTLS를 통해 트래픽을 정교하게 위장

🐚 4. ToneShell (v3) – 시그니처 백도어 업그레이드

• 예전부터 써온 백도어 툴을 업데이트
• 시스템 식별 방식 및 C2 통신 구조 개선
• StarProxy와 마찬가지로 FakeTLS 적용

🧨 5. SplatCloak – Windows Defender 및 Kaspersky 무력화 드라이버

• 커널 수준에서 보안 제품의 콜백 비활성화
• 다른 악성코드가 탐지되지 않도록 우회
• SplatDropper라는 전용 드로퍼를 통해 설치 후 자기 삭제

---

🕵️ 공격 방식도 '전통과 혁신의 조화'

Mustang Panda는 이번에도 DLL 사이드로딩이라는 중국계 APT 그룹 특유의 전통적인 전술을 그대로 유지했지만,
단순히 기존 툴을 가져다 쓰지 않고 자체 개발된 신형 도구들을 도입해 창의적이면서도 맞춤형 공격을 강화했습니다.

이처럼 신형 키로거부터 안티-EDR 드라이버, 그리고 lateral spread를 위한 프록시까지 전방위적인 기능이 탑재된 점은
Mustang Panda가 단순 침투가 아닌 지속적 은닉과 확산, 그리고 정보 탈취를 동시에 수행하는 고도화된 작전을 펼치고 있음을 보여줍니다.

---

🎯 이들의 목적은?

• 군사/정부 기밀 정보 수집
• 정치적 감시 대상(소수민족, NGO, 외교 조직 등) 모니터링
• 산업 첩보 활동 및 공급망 공격 가능성
• 내부망 침투 후 lateral movement → 조직 전체 장악 시도

---

🔐 보안 수칙: 이렇게 막자

1. EDR 솔루션 강화
   • FakeTLS 및 사용자 모드가 아닌 커널 모드 감지 가능한 제품 사용
2. 파일 기반 악성코드 탐지 보완
   • 클립보드, 키로깅 모듈 등도 탐지 가능한 행위 기반 분석 필요
3. PowerShell / AutoIt / DLL 실행 정책 제한
   • 사이드로딩과 자동화 언어 실행을 기본 차단하거나 감시
4. 정기적 취약점 점검 및 패치 적용
   • 드라이버 취약점(BYOVD) 악용 방지를 위한 OS 및 보안 업데이트 중요

---

🧩 마무리

Mustang Panda는 단순한 해킹 그룹이 아닙니다.
국가적 배후와 장기적인 첩보 목적을 가진 만큼
기업과 기관은 이들이 배포한 신형 악성코드 도구들에 대한 탐지 룰을 업데이트하고
실제 내부망에서의 lateral movement에 대비한 보안 정책을 정비해야 할 시점입니다.