VerdantBamboo, 리눅스 어플라이언스에 BSD 기반 BRICKSTORM 배포
출처: The Hacker News
Ravie LakshmananJun 08, 2026 사이버 스파이 활동 / 악성코드
중국과 연계된 사이버 스파이 그룹이 알려진 백도어 BRICKSTORM의 BSD 변형과, PLENET(다른 이름으로 GRIMBOLT) 및 AGENTPSD라는 두 개의 악성코드 패밀리를 배포해 Linux 시스템을 표적으로 삼고 있는 것으로 관찰되었습니다.
이 활동은 Volexity가 VerdantBamboo 라는 위협 클러스터와 연관 짓고 있으며, 이 클러스터는 Microsoft가 명명한 Clay Typhoon, Google이 추적하는 UNC5221, 그리고 CrowdStrike가 식별한 Warp Panda와 겹친다.
보안 업체는 2025년 9월에 진행한 사고 대응 과정에서 침해를 발견했으며, 공격자는 로컬 권한 상승 취약점을 이용해 피해자의 Egnyte Storage Sync 시스템을 장악하고 BRICKSTORM을 배포한 것으로 드러났습니다. 해당 취약점은 2026년 3월에 출시된 Storage Sync 버전 13.13에서 해결되었습니다(버전 정보).
“이 장치는 피해 조직의 웹 SSL VPN을 통해 할당된 IP 주소로 VerdantBamboo가 주기적으로 접근했습니다.”라고 연구원 Damien Cash, Paul Rascagneres, Steven Adair, Tom Lancaster가 지난 주 발표한 기술 보고서에서 밝혔습니다.
“위협 행위자는 Storage Sync 시스템에 배포된 악성코드의 프록시 기능과 탈취한 자격 증명을 이용해 피해자의 Microsoft 365(M365) 환경에 접근했습니다.”
이러한 행위는 정상적인 네트워크 트래픽에 섞여 Conditional Access 정책을 회피하기 위한 것으로 판단되며, 최초 침해는 최소 18개월 전으로 추정됩니다.
초기 복구 작업 이후 VerdantBamboo는 다시 공격을 감행했으며, 도난당한 관리자 자격 증명을 사용해 방화벽에 접속한 뒤 해당 접근 권한을 악용해 장치의 웹 SSL VPN을 설정하고, 다른 시스템에 연결해 Synology NAS(Network Attached Storage) 장치에 추가 악성코드를 배포했습니다.
추가 조사 결과, 공격자는 피해 조직의 Managed Services Provider(MSP)까지 장악한 것으로 드러났습니다. MSP의 pfSense 방화벽에 BRICKSTORM의 BSD 변형이 동일 시기에 감염되었으며, 이는 피해 조직의 Storage Sync 시스템이 침해된 시점과 일치합니다.
피해자는 MSP를 통한 침해 경로로 타격을 입은 것으로 보이며, NAS 장치에 SSH를 통해 배포된 두 악성코드 패밀리는 다음과 같습니다.
- PLENET(다른 이름으로 GRIMBOLT) – .NET Core로 개발된 크로스 플랫폼 백도어이며, 네이티브 AOT(Ahead‑Of‑Time) 컴파일을 사용해 새롭게 만든 BRICKSTORM 버전도 포함합니다. 인터랙티브 쉘, 원격 명령 실행, 파일 조작, C2 서버 전환 기능을 지원합니다.
- AGENTPSD – 파이썬 기반 리버스 쉘로, 주요 임플란트가 작동을 멈출 경우를 대비한 백업 역할을 수행하는 것으로 추정됩니다.
PLENET이 실제로 사용된 사례는 구글이 올해 2월에 보고했으며, 이는 UNC6201이라는 의심되는 중국 연계 위협 클러스터가 Dell RecoverPoint for Virtual Machines(CVE‑2026‑22769, CVSS 점수: 10.0)의 취약점을 2024년 중반부터 제로데이로 악용한 공격과 연관됩니다.
“VerdantBamboo는 살아있는 환경(living‑off‑the‑land) 기법과 전통적으로 EDR 소프트웨어를 실행할 수 없거나 실행하지 않는 시스템에 악성코드를 배포하는 방식을 결합하는 고도로 정교한 위협 행위자입니다.”라고 Volexity는 말했습니다.
“이 위협 행위자는 독점 장비에 대한 높은 이해도를 보이며, 맞춤형 지속성 메커니즘을 사용해 악성코드를 배포합니다. 또한 피해자당 제한된 수의 도메인과 IP 주소만을 활용하고, 장치별 맞춤형 임플란트 명명 및 지속성을 설정하는 등 운영 보안 규율을 유지하고 있습니다.”
이 기사가 흥미로우셨나요? 더 많은 독점 콘텐츠를 보려면 Google News, Twitter 및 LinkedIn을 팔로우하세요.