UnsolicitedBooker, 중앙아시아 통신사를 LuciDoor와 MarsSnake 백도어로 표적
Source: The Hacker News
중앙아시아에서의 UnsolicitedBooker 활동
UnsolicitedBooker 라는 위협 활동 클러스터가 키르기스스탄과 타지키스탄의 통신 회사를 표적으로 삼고 있는 것으로 관찰되었으며, 이는 이전에 사우디아라비아 기관을 겨냥했던 공격에서 전환된 것입니다.
이 공격은 LuciDoor 와 MarsSnake 라는 코드명으로 불리는 두 개의 서로 다른 백도어를 배포하는 형태이며, 이는 지난 주 Positive Technologies 가 발표한 보고서에 따르면 확인되었습니다.
“The group used several unique and rare instruments of Chinese origin,” researchers Alexander Badaev and Maxim Shamanov said.
— Positive Technologies report
UnsolicitedBooker는 2025년 5월 ESET에 의해 처음 문서화되었으며, 사우디아라비아의 미확인 국제 조직을 표적으로 한 사이버 공격에서 MarsSnake 라는 백도어를 사용한 것으로 보고되었습니다. 이 그룹은 최소 2023년 3월부터 활동해 왔으며, 아시아, 아프리카, 중동 지역의 조직을 지속적으로 표적해 온 이력이 있습니다.
추가 분석을 통해 Space Pirates 와 아직 귀속되지 않은 사우디아라비아 대상 캠페인(백도어 Zardoor 사용) 등 두 개의 다른 클러스터와 전술적 겹침이 발견되었습니다.
러시아 사이버 보안 업체가 문서화한 최신 공격은 2025년 9월 말 키르기스스탄 조직을 대상으로 피싱 이메일을 통해 Microsoft Office 문서를 전달한 사례입니다. 문서를 열면 피해자에게 Enable Content 를 요청하여 악성 매크로가 실행됩니다.
- 문서에는 통신 사업자의 요금제가 표시되지만, 매크로는 은밀히 LuciLoad 라는 C++ 악성 로더를 배포하고, 이는 다시 LuciDoor 를 전달합니다.
- 2025년 11월 말에 관찰된 두 번째 공격은 동일한 전달 방식을 사용했지만, 다른 로더 MarsSnakeLoader 를 이용해 MarsSnake 를 배포했습니다.
2026년 1월에도 UnsolicitedBooker는 타지키스탄 기업을 표적으로 피싱 이메일을 활용했습니다. 전체 공격 체인은 동일했지만, 악성 링크는 이제 직접 첨부 파일 대신 위장 문서로 연결됩니다.
백도어 악성코드
LuciDoor
- Language: C++
- Capabilities:
- 명령·제어(C2) 서버와 통신을 설정합니다.
- 기본 시스템 정보를 수집하고 암호화된 형태로 유출합니다.
- 서버 응답을 파싱하여
cmd.exe를 통해 명령을 실행하고, 파일을 쓰며, 파일을 업로드합니다.
문서 내 매크로
MarsSnake
- Capabilities:
- 시스템 메타데이터를 수집합니다.
- 임의의 명령을 실행합니다.
- 디스크상의 모든 파일을 읽거나 씁니다.
Positive Technologies는 MarsSnake가 중국을 표적으로 한 공격에 사용된 증거도 발견했습니다. 초기 감염 경로는 Microsoft Word 문서(*.doc.lnk)로 위장된 Windows 바로 가기입니다. 바로 가기는 배치 스크립트를 실행하고, 이 스크립트가 Visual Basic Script를 실행하여 별도 로더 없이 MarsSnake를 구동합니다.
위장 파일은 공개된 침투 테스트 도구 **FTPlnk_phishing**와 연관된 LNK 파일을 기반으로 한 것으로, 동일한 생성 타임스탬프와 Machine‑ID 마커가 이를 나타냅니다. 유사한 LNK 파일은 2022년 태국을 대상으로 한 공격에서 Mustang Panda 그룹에 의해 사용되었습니다.
“그들의 공격에서 그룹은 중국산 희귀 도구를 사용했습니다,” 라고 Positive Technologies는 말했습니다.
“흥미롭게도, 처음에는 LuciDoor라는 백도어를 사용했지만 나중에 MarsSnake로 전환했습니다. 그러나 2026년에 그룹은 방향을 바꿔 다시 LuciDoor를 사용하기 시작했습니다.”
“또한 최소 한 건에서는 공격자가 해킹된 라우터를 C2 서버로 사용했으며, 그들의 인프라는 일부 공격에서 러시아의 인프라를 모방한 것으로 보였습니다.”
PseudoSticky와 Cloud Atlas, 러시아를 표적으로
이 공개는 이전에 알려지지 않았던 위협 행위자가 Sticky Werewolf(Angry Likho, MimiStick, PhaseShifters)라는 친우크라이나 해킹 그룹의 전술을 고의적으로 모방하여 러시아 조직을 공격하고 있음을 보여줍니다.
위협 환경 업데이트 – 러시아 표적
새로운 위협 그룹인 **PseudoSticky**는 2025년 11월부터 활동하고 있습니다. 피해자는 주로 악성 첨부 파일이 포함된 피싱 이메일을 통해 감염되며, 이후 트로이목마 RemcosRAT와 DarkTrack RAT를 배포해 포괄적인 데이터 절도와 원격 제어를 수행합니다.
이 행위자들이 대형 언어 모델(LLM)을 활용해 **공격 체인**을 PureCrypter를 통해 DarkTrack RAT를 배포하도록 개발한 정황이 포착되었습니다.
“인프라, 악성코드 구현, 개별 전술 요소에서 차이가 나타나며, 이는 그룹 간에 직접적인 연관성이 없고 오히려 의도적인 모방일 가능성이 높다는 것을 보여줍니다,”
— 러시아 보안 업체 F6
관련 활동: Cloud Atlas
또 다른 해킹 그룹인 **Cloud Atlas**도 러시아 기관을 표적으로 삼고 있습니다. 이들은 악성 Word 문서가 포함된 피싱 이메일을 사용해 VBShower와 VBCloud라는 맞춤형 악성코드를 배포합니다.
“문서를 열면 악성 문서의 스트림 중 하나에 지정된 C2에서 원격 템플릿을 로드합니다,”
— 사이버보안 회사 Solar
“이 템플릿은 CVE‑2018‑0802 취약점을 악용합니다. 이후 대체 스트림이 포함된 악성 파일, 즉 VBShower가 다운로드됩니다.”
Source
시각적 참고
최신 정보 받아보기
이 기사가 흥미롭나요? 더 많은 독점 콘텐츠를 위해 저희를 팔로우하세요: