신규 위협 클러스터 OP-512, 맞춤형 웹 쉘 프레임워크로 마이크로소프트 IIS 서버 표적
출처: 해커 뉴스
Ravie Lakshmanan2026년 6월 5일 · 사이버 스파이 활동 / 위협 인텔리전스
사이버 보안 연구원들은 OP-512 라는 아직 보고되지 않은 위협 클러스터를 발견했으며, 이 클러스터는 Microsoft Internet Information Services(IIS) 서버를 표적으로 삼아 맞춤형 웹 쉘 프레임워크를 배포하고 있습니다.
ReliaQuest는 이 스파이 활동이 중국과 연관될 가능성이 중간에서 높음 수준이라고 평가했습니다.
“OP-512은 조직의 IIS 웹 서버가 침해된 상태에서 스파이 활동을 수행했을 가능성이 매우 높으며, 해당 조직의 산업 및 지리적 위치가 중국 연계 정보 우선순위와 일치한다”고 회사는 라고 말했다.
OP-512과 다른 알려진 중국 연계 위협 그룹 간에 겹치는 부분은 발견되지 않았지만, 지난 12개월 동안 IIS 웹 서버를 표적으로 삼은 네 번째 위협 그룹이며, 이전에는 CL-STA-0048, DragonRank, GhostRedirector 가 있었던 바 있습니다. 최근 한 달 전에도 Cisco Talos는 다수의 중국어 사용 사이버 범죄 조직이 BadIIS 라는 변종 악성코드를 공유해 IIS 서버를 감염시키고 있다고 밝혔다.
IIS 서버는 또한 SHADOW-EARTH-053 에 의해 남·동·동남아시아의 정부·방위 부문을 겨냥한 새로운 중국 연계 스파이 캠페인의 일환으로 표적이 되었습니다.
OP-512의 핵심은 세 개의 웹 쉘로 구성된 맞춤형 웹 쉘 프레임워크이며, 이를 통해 공격자는 침해된 호스트에 원격 접근을 할 수 있습니다. 동시에 서명 기반 탐지를 회피하고, 타임스탬프 조작 같은 기법을 사용해 포렌식 타임라인을 복잡하게 만들기 위해 노력합니다.
구체적으로는, 웹 쉘이 배치된 디렉터리와 그 하위 폴더의 모든 파일을 스캔하고, 마지막 수정 시각의 중앙값을 계산한 뒤, 자신의 생성 및 수정 시간을 그 값에 맞게 덮어써서 마치 오래전부터 존재해 온 것처럼 보이게 합니다.
“이 프레임워크는 우리가 흔히 동시에 보지 못하는 기능들을 결합하고 있습니다. 각 배포는 고유하게 생성되며, 접근은 암호화 제어를 통해 공격자에게만 제한되고, 침해된 서버는 자동으로 중앙 관리 시스템에 보고됩니다.”라고 ReliaQuest는 설명했습니다.
OP-512는 전술적으로 CL-STA-0048과 매우 근접해 있어, 기존 클러스터가 도구 세트를 완전히 개편했거나 독자적으로 이 기능들을 개발했을 가능성을 시사합니다. 출처와 관계없이 이 해킹 그룹은 독립적으로 운영되는 별도 클러스터로 간주됩니다.
보안 업체가 관찰한 공격에서, 위협 행위자는 Windows Server 2016 기반 레거시 IIS 서버와 수명이 끝난 .NET Framework 4.0을 대상으로 했습니다. 주요 사건이 발생하기 약 75일 전에도 동일 호스트에서 이전 활동 흔적이 발견됐으며, 이는 공격자가 제어하는 다른 도메인(“ashx.lhlsjcb[.]com”)에 대한 DNS 쿼리와 연관됩니다.
몇 주 뒤에 전개된 일련의 행동은 “스프린트”라 불리며, 공격자는 웹 서버의 워커 프로세스(“w3wp.exe”)를 이용해 웹 쉘 중 하나를 애플리케이션 업로드 디렉터리에 떨어뜨렸습니다. 이 과정에서 자체 보고 메커니즘이 작동해 DNS 쿼리 또는 HTTP 요청을 백업 채널로 사용해 웹 쉘 위치를 공격자 제어 도메인으로 전송합니다.