Transparent Tribe, AI를 활용해 인도 표적 캠페인에서 Malware 임플란트를 대량 생산
Source: The Hacker News
Source: …
AI‑coded malware
Ravie Lakshmanan • Mar 06, 2026 • Threat Intelligence / Cyber Espionage
파키스탄과 연계된 위협 행위자 Transparent Tribe 가 인공지능(AI) 기반 코딩 도구를 활용해 다양한 임플란트를 목표로 공격하는 최신 해킹 그룹으로 떠올랐습니다.
이번 활동은 Nim, Zig, Crystal과 같은 덜 알려진 프로그래밍 언어를 사용해 “대량이면서 평균적인 임플란트”를 생산하고, Slack, Discord, Supabase, Google Sheets와 같은 신뢰받는 서비스를 이용해 레이더를 피하도록 설계되었습니다. 이는 Bitdefender의 최신 조사 결과에 기반합니다.
“기술적 정교함의 돌파구라기보다, 우리는 AI‑지원 악성코드 산업화로 전환되는 모습을 보고 있습니다. 이는 공격자가 일회용 다중언어 바이너리로 목표 환경을 포화시키는 것을 가능하게 합니다.”라고 보안 연구원 Radu Tudorica, Adrian Schipor, Victor Vrabie, Marius Baciu, Martin Zugec 가 캠페인에 대한 기술적 분석에서 밝혔습니다.
루마니아 사이버보안 업체는 탐지를 복잡하게 만들기 위한 수단으로 vibe‑coded malware, 일명 vibeware 로의 전환을 Distributed Denial of Detection (DDoD) 로 특징짓고 있습니다. 이 접근 방식은 기술적 정교함을 통해 탐지를 회피하려는 것이 아니라, 서로 다른 언어와 통신 프로토콜을 사용하는 일회용 바이너리로 목표 환경을 포화시키는 데 초점을 맞춥니다.
대형 언어 모델(LLM)은 위협 행위자에게 사이버 범죄 장벽을 낮추고 전문성 격차를 축소시켜 줍니다. 이는 익숙하지 않은 언어로도 기능적인 코드를 처음부터 생성하거나, 보다 일반적인 언어에서 핵심 비즈니스 로직을 포팅할 수 있게 해 줍니다.
최신 공격 집단은 인도 정부와 해외에 있는 인도 대사관을 주요 표적으로 삼고 있으며, APT 36은 LinkedIn을 활용해 고가치 대상을 식별하고 있습니다. 또한 아프가니스탄 정부와 몇몇 민간 기업도 다소 제한적으로 표적이 되었습니다.
감염 체인
- ZIP 아카이브 또는 ISO 이미지에 포함된 Windows 바로 가기(.lnk)가 첨부된 피싱 이메일.
- “문서 다운로드” 버튼이 눈에 띄게 표시된 PDF 유인 파일로, 사용자를 공격자가 제어하는 웹사이트로 리다이렉트하고, 그곳에서 동일한 ZIP 아카이브를 다운로드하도록 트리거합니다.
전달 방법에 관계없이 .lnk 파일은 PowerShell 스크립트를 메모리 내에서 실행하여 메인 백도어를 다운로드 및 실행하고 사후 침투 작업을 수행합니다. 이러한 작업에는 Cobalt Strike 및 Havoc과 같은 알려진 적대 시뮬레이션 도구의 배포가 포함되어 있어 복원력을 확보하기 위한 하이브리드 접근 방식을 나타냅니다.
Tools observed in the campaign
- Warcode – Crystal로 작성된 맞춤형 쉘코드 로더로, Havoc 에이전트를 메모리로 직접 리플렉티브하게 로드합니다.
- NimShellcodeLoader – Warcode의 실험적 대응 버전으로, 내부에 포함된 Cobalt Strike 비콘을 배포하는 데 사용됩니다.
- CreepDropper – 추가 페이로드를 전달하고 설치하는 .NET 악성코드이며, 포함 내용은 다음과 같습니다:
- SHEETCREEP – Microsoft Graph API를 C2(명령 및 제어)로 사용하는 Go 기반 정보 탈취 도구.
- MAILCREEP – Google Sheets를 C2로 활용하는 C# 기반 백도어. 두 패밀리는 2026년 1월 Zscaler ThreatLabz가 상세히 다룸.
- SupaServ – Rust 기반 백도어로, Supabase 플랫폼을 통해 기본 통신 채널을 구축하고, Firebase를 보조 채널로 사용합니다. 유니코드 이모지를 포함하고 있어 AI 지원 개발 가능성을 시사합니다.
- LuminousStealer – 아마도 vibe‑코드된 Rust 기반 정보 탈취 도구로, Firebase와 Google Drive를 이용해 특정 확장자(.txt, .docx, .pdf, .png, .jpg, .xlsx, .pptx, .zip, .rar, .doc, .xls)의 파일을 탈취합니다.
- CrystalShell – Crystal로 작성된 백도어로 Windows, Linux, macOS 시스템을 대상으로 할 수 있으며, 하드코딩된 Discord 채널 ID를 C2로 사용하고 명령 실행 및 호스트 정보 수집을 지원합니다. 변형 중 하나는 Slack을 C2로 사용합니다.
- ZigShell – Zig로 작성된 CrystalShell의 대응 버전으로, Slack을 주요 C2 인프라로 사용하며 파일 업로드·다운로드 기능을 추가합니다.
- CrystalFile – Crystal로 작성된 간단한 명령 인터프리터로,
C:\Users\Public\AccountPi디렉터리를 지속적으로 모니터링합니다.
Additional tools
- LuminousCookies – Chromium 기반 브라우저에서 앱 바인드 암호화를 우회하여 쿠키, 비밀번호 및 결제 정보를 탈취하는 Rust 기반 특수 인젝터.
- BackupSpy – 로컬 파일 시스템 및 외부 미디어를 모니터링하여 고가치 데이터를 탐지하도록 설계된 Rust 기반 유틸리티.
- ZigLoader – Zig로 작성된 특수 로더로, 메모리 내에서 임의의 셸코드를 복호화하고 실행합니다.
- Gate Sentinel Beacon – 오픈소스 GateSentinel C2 프레임워크 프로젝트를 커스터마이징한 버전.
“APT36이 vibeware로 전환하는 것은 기술적 퇴보를 의미한다”고 Bitdefender가 말했습니다. “AI 지원 개발이 샘플 양을 증가시키지만, 결과물은 종종 불안정하고 논리적 오류가 많다. 공격자는 오래전부터 현대 엔드포인트 보안에 의해 대체된 시그니처 기반 탐지를 잘못 목표로 삼고 있다.”
Bitdefender는 AI 지원 악성코드가 초래하는 위협이 공격의 산업화이며, 이를 통해 위협 행위자가 빠르고 적은 노력으로 활동을 확장할 수 있다고 경고했습니다.
“우리는 일정 기간 동안 진행되어 온 두 가지 추세가 수렴되는 현상을 보고 있다: 이색적이고 틈새 프로그래밍 언어의 채택, 그리고 신뢰받는 서비스를 악용해 정상 네트워크 트래픽에 숨는 행위.” 연구원들은 이렇게 말했습니다. “이 조합은 평범한 코드라도 표준 방어 텔레메트리를 압도함으로써 높은 운영 성공을 달성하게 만든다.”