중국 APT, 해킹된 네트워크 접근 유지 위해 새로운 악성코드 배포
UNC5221으로 추적되는 중국 스파이 그룹이 Brickstorm 백도어와 이전에 문서화되지 않은 Plenet 및 AgentPSD라는 악성코드를 사용해 Microsoft 365 환경에 접근하고 있었습니다.
조사 결과, 위협 행위자는 피해자 네트워크에 최소 18개월 전부터 접근하고 있었으며, 피해 조직의 관리형 서비스 제공업체(MSP)도 탈취한 것으로 드러났습니다.
UNC5221은 VerdantBamboo라는 이름으로도 알려져 있으며, 2023년부터 엣지 디바이스의 제로데이 취약점을 이용한 공격에 관여해 왔습니다.
위협 행위자는 Brickstorm 백도어를 사용해 미국 내 여러 대상의 환경에 1년 넘게 탐지되지 않은 채 머물렀으며, 2025년 3월경에야 침해가 발견되었습니다.
연구원들은 Brickstorm을 “고도화된 악성코드 임플란트”라고 설명합니다. 초기 변종은 Golang으로 작성되었고, 이후 Rust로 작성된 새로운 변종이 등장했습니다.
2024년 4월, Google은 백도어를 이용한 UNC5221 활동을 문서화했으며, 2025년 9월에도 다시 보고 법률 서비스, SaaS 제공업체, 비즈니스 프로세스 아웃소싱 업체, 기술 기업을 대상으로 한 공격을 설명했습니다.
CISA는 Brickstorm이 중국 해커에 의해 VMware vSphere 서버에 배포되었다고 경고했으며(관련 기사), 최근 Google은 UNC6201에 의해 Dell RecoverPoint for Virtual Machines에 배포되었다고 보고했습니다(관련 기사).
피해자 두 차례 침해
Volexity 연구원들이 지난해 발생한 사건을 조사한 결과, VerdantBamboo가 Egnyte Storage Sync 시스템을 탈취하고 피해자의 웹 SSL VPN을 통해 주기적으로 접근한 것으로 밝혀졌습니다.
이 발판과 Brickstorm 프록시 기능 및 탈취한 자격 증명을 이용해 위협 행위자는 조직의 Microsoft 365 환경에 접근했습니다.
“Volexity는 이것이 정당한 네트워크 트래픽에 섞여 들어가 조건부 액세스 정책을 회피하기 위해 수행된 것으로 높은 신뢰도를 가지고 판단합니다.” — 연구원 발표
후에 Volexity는 해커들이 탐지되기 전 최소 18개월 동안 네트워크에 머물렀음을 확인했습니다. 또한 VerdantBamboo는 연구원들의 복구 작업이 완료된 뒤 조직을 다시 침해했습니다.
두 번째 침해에서는 공격자가 탈취한 자격 증명을 사용해 피해자 방화벽에 SSL VPN 접근을 활성화·구성하고, 내부 시스템에 연결해 Synology NAS 장치에 추가 맞춤형 악성코드를 배포했습니다.
이 과정에서 고객의 MSP에서 조사가 진행되었으며, Volexity는 VerdantBamboo가 pfSense 방화벽에 BSD 변종 Brickstorm을 심어두었다는 사실을 발견했습니다.
“Volexity는 이 방화벽이 피해 조직의 Storage Sync 시스템과 마찬가지로 최소 18개월 전부터 이미 침해된 것으로 결론지었습니다.”
연구원들은 공격자가 MSP에서 피해 조직 환경으로 피벗했을 가능성을 중간 정도의 신뢰도로 평가했습니다.
그 후 Brickstorm은 피해자의 Egnyte Storage Sync 장치와 은퇴한 Linux GroupWise 이메일 아카이브 서버에 배포되었습니다.
사용된 새로운 백도어
공격자들이 며칠 뒤 다시 돌아와 피해 인프라에 접근을 재수립하자, 맞춤형 악성코드 Plenet을 Synology NAS 장치에 배포했습니다.
Plenet은 Google이 “Grimbolt”이라고도 추적하는 크로스 플랫폼 .NET 기반 백도어로, 인터랙티브 쉘 접근, 원격 명령 실행, 파일 조작, C2 서버 전환 기능을 제공합니다.
연구원들은 Plenet이 설계 면에서 Brickstorm과 유사하며, C2 통신에 WebSocket 프로토콜을 사용하고 서버와의 동시 데이터 스트림을 위한 멀티플렉싱 라이브러리를 활용한다고 지적했습니다.
AgentPSD는 간단한 Python 기반 역방향 쉘 유틸리티이며, Volexity는 VerdantBamboo가 다른 악성코드가 더 이상 접근할 수 없을 때 대비해 보조 지속성 메커니즘으로 사용했을 가능성이 있다고 보고했습니다.
연구진은 AgentPSD가 Brickstorm이 사용한 도메인과 다른 도메인에 연결하도록 설정돼 있음을 발견했지만, Brickstorm이 여전히 실행 중이었기 때문에 실제로 사용된 적은 없으며, 이는 AgentPSD가 보조 접근 수단이었다는 평가를 뒷받침합니다.
조사 과정에서 Volexity는 VerdantBamboo와 연관된 인프라를 파악하려 시도했습니다. 연구원들은 Brickstorm이 C2 통신에 사용한 IP 주소와 도메인을 식별하기 위한 지문을 만들었습니다.
여러 대의 머신이 식별되었지만, 위협 행위자는 연구원들이 다른 시스템을 공개하기 전에 인프라를 오프라인으로 전환했습니다.
“9월 18일에서 9월 23일 사이에, 이 패턴과 일치하던 모든 서버가 443 포트 서비스를 중단했습니다.”
그 시점에 Google도 Brickstorm 활동에 대한 새로운 보고서를 발표했으며, 이는 공격자가 자신의 활동이 조사 중임을 인지하고 있었을 가능성을 시사합니다.
Volexity는 VerdantBamboo/UNC5221을 “고도로 정교한 위협 행위자”라 정의하며, 살아있는 시스템을 활용하는 기법과 악성코드를 혼합하고, 엔드포인트 탐지 및 대응(EDR) 솔루션을 지원하지 않는 시스템을 표적으로 삼는다고 설명했습니다.
연구원들은 조사된 UNC5221 캠페인과 연관된 지표(IOC)를 정리해 여기에 공개했습니다.
[공격자보다 먼저 모든 레이어를 테스트하세요](https://hubs.li/Q04jQ9z40)보안 팀은 성공적인 공격의 54%를 기록하고, 그 중 14%만을 알림으로 전환합니다. 나머지는 환경을 무시하고 이동합니다.
Picus 백서에서는 침해 및 공격 시