2025 RSAC 컨퍼런스에서 ESET이 발표한 보고서에 따르면,
중국 국적의 APT 그룹 TheWizards가 새로운 사이버 캠페인을 펼치고 있다고 해요.
이들은 'Spellbinder'라는 도구를 통해 합법적인 소프트웨어 업데이트 프로세스를 악용하여 악성코드를 숨기는
매우 정교한 공격을 시도 중입니다. 🕵️♂️
단순한 백도어가 아닙니다.
이 캠페인은 거의 쓰이지 않던 IPv6 기반 SLAAC 스푸핑을 악용해, 네트워크 상에서 피해자의 트래픽을 가로채고,
중간자 공격(Adversary-in-the-Middle, AitM) 형태로 업데이트를 조작해버립니다. 😱
🧩 공격 흐름: 마치 ‘업데이트’처럼 가장된 마법
이 캠페인의 핵심은 'Spellbinder'라는 도구입니다.
공격 절차는 다음과 같아요:
- 🎯 대상 시스템에 QQ, 텐센트, 바이두, 샤오미 등의 합법적 소프트웨어가 설치되어 있음.
- 📡 Spellbinder가 DNS 요청을 가로채 악성 서버의 IP로 응답함.
- 🧬 피해자는 진짜 업데이트인 줄 알고 악성 DLL이 포함된 아카이브를 다운로드.
- 🐛 해당 DLL은 다운로더 역할을 하며, 공격자 서버에 연결해 암호화된 페이로드(=WizardNet 백도어)를 받아옴.
- 🚫 AMSI(안티 멀웨어 스캔 인터페이스)를 우회하고, 이벤트 로그도 비활성화.
- 🔚 최종적으로 WizardNet 백도어가 메모리 상에서 실행되어 .NET 기반 모듈을 실행 가능한 상태가 됨.
모든 과정이 합법적인 업데이트 프로세스처럼 보이도록 설계되어 있어, 보안 솔루션을 우회하기 매우 용이합니다. 😨
🧠 Spellbinder의 기술적 특이점
Spellbinder가 주목받는 이유는 IPv6 SLAAC 스푸핑을 악용한 점입니다.
SLAAC(Stateless Address Autoconfiguration)은 IPv6에서 장비가 자동으로 IP를 설정할 수 있도록 하는 기술인데요,
이걸 공격자가 위조하면, 네트워크 상에서 자신을 '신뢰할 수 있는 라우터'로 보이게 만들 수 있어요.
이 기능을 통해 공격자는 피해자의 DNS 요청을 자신이 제어하는 서버로 리다이렉션하고, 악성 DLL을 배포하게 됩니다.
또한 Spellbinder에는 하드코딩된 도메인 목록이 있어,
QQ, Baidu, Kingsoft 등 중국의 다양한 인기 소프트웨어에 대한 업데이트 요청을 탈취할 수 있도록 설계돼 있습니다.
🕹️ 최종 페이로드: WizardNet
이 캠페인의 최종 목표는 'WizardNet'이라는 .NET 기반 백도어를 설치하는 것입니다.
WizardNet은 다음 기능을 갖고 있어요:
- 🧩 원격 명령 실행
- 🗂️ 파일 업로드/다운로드
- 🔍 피해자 시스템 정보 수집
- 📦 .NET 모듈 다운로드 및 실행
게다가, Android 기기 대상의 캠페인에서는 DarkNights (aka DarkNimbus)라는 모바일 백도어를 배포하기도 합니다.
🧬 TheWizards = Earth Minotaur?
이번 캠페인을 분석하던 중, ESET은 Earth Minotaur 그룹과의 연결성도 발견했어요.
Earth Minotaur는 티베트와 위구르 커뮤니티를 대상으로 Moonshine, DarkNimbus 등을 사용해 공격해왔던
중국계 APT 그룹인데요, TheWizards 역시 같은 도구를 사용하고 있는 것으로 확인됐습니다.
심지어 악성 페이로드가 다운로드되는 서버의 인증서 발급 기관, 코드 패턴, 암호화 방식까지 유사하다고 하니,
이들이 공통된 제3자 공급업체로부터 도구를 공유하고 있을 가능성도 높습니다.
🧯 어떻게 방어할 수 있을까?
ESET은 아직 Spellbinder가 어떻게 초기 침투하는지까지는 밝혀내지 못했지만, 다음의 방어 전략을 권장하고 있어요:
- ✅ IPv6 트래픽 모니터링: 평소보다 이상한 SLAAC 요청, 수상한 Neighbor Discovery 활동 등을 로그로 확인해 보세요.
- ✅ EDR/XDR 솔루션 사용: WizardNet은 메모리에서 직접 실행되므로 행동 기반 탐지가 중요합니다.
- ✅ 라우터와 게이트웨이 패치 최신화: 라우터 설정 오류로 SLAAC 공격이 허용될 수 있어요.
- ✅ SLAAC 스푸핑 방지 설정: Secure Neighbor Discovery (SEND) 도입이 SLAAC 위조 방지에 도움이 됩니다.
🎯 마무리하며…
TheWizards의 Spellbinder 캠페인은 단순한 APT 공격을 넘어,
✅ IPv6의 네트워크 설계 특성을 악용하고,
✅ 사용자도 보안 솔루션도 쉽게 눈치채기 어려운 합법적인 프로세스를 교묘하게 탈취합니다.
특히 중국어권 소프트웨어 사용자나 도박 산업 종사자라면 더욱 경계해야 할 필요가 있죠. 🎰
이번 RSAC 2025에서 드러난 Spellbinder는 단순히 기술적 위협을 넘어,
중국계 APT들이 도구와 인프라를 공유하면서 전방위적으로 확장되고 있음을 보여주는 사례이기도 합니다.
우리 모두는 이제 이상한 업데이트 요청 하나에도 민감해져야 할 시점입니다. 🔍
'CyberSecurity > Security🔐' 카테고리의 다른 글
| 🤖 AI가 만들어낸 ‘가짜 라이브러리’, 소프트웨어 공급망 공격의 새로운 출발점 (2) | 2025.05.01 |
|---|---|
| 🐼 Billbug, 동남아 정부기관 노린 중국 APT의 진화된 첩보전 (2) | 2025.05.01 |
| 🛰️ 우주 자산도 해킹당한다? 위성 해킹의 현실과 보안이 주는 교훈 (1) | 2025.05.01 |
| 🚀 2025 글로벌 위협 리포트: 사이버공격은 이미 AI와 자동화로 진화 중! (1) | 2025.04.29 |
| HSS 해킹과 IMSI Catcher: 이동통신망의 숨겨진 위험과 5G 시대의 보안 강화 전략 (1) | 2025.04.29 |