머스탱 판다의 ‘쿨클라이언트’ 전방위 확산... 아시아 정부 기관 겨냥 ‘스파이 작전’ 작성일 02-01 5 목록 <div id="layerTranslateNotice" style="display:none;"></div> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="zwCXfsNdE9"> <p contents-hash="d8a2b2898a4cfdc3c1fc1fe027297111cdb1891ba335d872c6469df2e7149986" dmcf-pid="qrhZ4OjJEK" dmcf-ptype="general"><strong>비트디펜더, VLC 미디어 플레이어 등 잘 알려진 실행 파일 악용하는 ‘DLL 사이드로딩’ 기법 사용</strong></p> <p contents-hash="a5394bea160c95416beff559e88a3896702ad413fb607ea9153673832c049085" dmcf-pid="BsS16Ccnmb" dmcf-ptype="general">[보안뉴스 김형근 기자] 중국 연계 해킹 조직인 머스탱 판다가 2025년 한 해 동안 고도화된 ‘쿨클라이언트(COOLCLIENT)’ 백도어를 사용해 아시아 전역의 정부 기관을 심각하게 공격했던 것으로 밝혀졌다. </p> <figure class="figure_frm origin_fig" contents-hash="dc2b04400574eb87518a870cec4a3d547b2ec8551e369315a6924d0376d9e95b" dmcf-pid="bOvtPhkLsB" dmcf-ptype="figure"> <p class="link_figure"><img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202602/01/552815-KkymUii/20260201093800763wqln.jpg" data-org-width="1000" dmcf-mid="78kl7je4m2" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202602/01/552815-KkymUii/20260201093800763wqln.jpg" width="658"></p> </figure> <div contents-hash="0bda963f4312e121b0662f51f33b0a7ac54b7ea4d91e889447d3fe34554de21e" dmcf-pid="KITFQlEosq" dmcf-ptype="general"> <div> <p>[출처: gettyimagesbank]</p> </div> <br>심각한 것은 이들의 위협이 2026년 현재까지도 지속되고 있다는 점이다. 이들의 주 타깃은 미얀마, 몽골, 말레이시아, 러시아 등이며, 최근에는 파키스탄과 태국까지 공격 범위를 정밀하게 넓히고 있는 것으로 확인됐다. </div> <p contents-hash="c92dca35aeea3430e686b4b3c8b0ceaa70e8aa0358313821958df565d7b4a132" dmcf-pid="9Cy3xSDgDz" dmcf-ptype="general">카스퍼스키의 보고서에 따르면, 이들은 쿨클라이언트를 플러그엑스(PlugX)나 루미너스모스(LuminousMoth)와 함께 보조 백도어로 철저하게 활용하고 있다. </p> <p contents-hash="9b89a4b785ac2a1a46f53a4b5b3269cf613106c62dbc566764dd82b3cc818852" dmcf-pid="2hW0Mvwar7" dmcf-ptype="general">특히 이들은 비트디펜더(Bitdefender), VLC 미디어 플레이어 등 신뢰받는 합법적 실행 파일을 악용하는 DLL 사이드로딩 기법을 사용한다. DLL 사이드로딩(Sideloading) 기법이란 정상 프로그램을 실행할때 악성 DLL을 먼저 실행하도록 하는 것으로, 보안 솔루션의 시그니처 탐지를 우회해 많은 공격 그룹이 활용해왔다. </p> <p contents-hash="cebb13029af9f3ced492765f3ae8f2ad5e42441cde6d6d67f5a786329ae43791" dmcf-pid="VlYpRTrNOu" dmcf-ptype="general">쿨클라이언트는 감염된 시스템에서 키보드 입력, 클립보드 내용, 파일 목록 등을 속속들이 수집해 공격자의 서버로 전송하는 기능을 갖췄다. 또한 HTTP 트래픽 패킷을 분석해 프록시 자격 증명을 훔치거나, 메모리 내에서 추가 플러그인을 실행하는 등 기술적 진화를 보여주었다.</p> <p contents-hash="3ccc07b785b95793ea8876ceb51daad701994f9482919971e8c7845f737f60ab" dmcf-pid="fSGUeymjEU" dmcf-ptype="general">이번에 발견된 플러그인 중에는 서비스 관리(ServiceMgrS), 파일 관리(FileMgrS), 원격 쉘(RemoteShellS) 등이 포함돼 있어 시스템 제어권을 낱낱이 장악할 수 있다.</p> <p contents-hash="7910e201c654e00c9394e4faa83cb94c9d48634708c8c31157d263c0e453e9e7" dmcf-pid="4DIHVmaerp" dmcf-ptype="general">머스탱 판다는 구글 크롬, MS 엣지 등 크로뮴 기반 브라우저에서 저장된 로그인 정보를 추출하는 세 가지 변종 스틸러를 정밀하게 배포했다. 심지어 모질라 파이어폭스의 쿠키 파일인 ‘cookies.sqlite’를 구글 드라이브로 직접 유출하기 위해 cURL 명령을 사용하는 대담한 수법도 구사했다.</p> <p contents-hash="1e67cd4640b440f4f6b8d362392dfe80e7cc12e9ce4d8ebe2fbe45758a9f444b" dmcf-pid="8wCXfsNdI0" dmcf-ptype="general">이 공격 그룹은 ‘톤쉘(TONESHELL)’이나 ‘큐리버스(QReverse)’ 같은 악성코드를 병행 사용해 시스템에 장기간 상주하며 데이터를 빼돌린다. 이들은 또한 배치 파일과 파워쉘 스크립트를 동원해 문서 탈취와 시스템 정보 수집 활동을 철저히 수행하는 것으로 드러났다.</p> <p contents-hash="82aeab5eb5a749a452f09fe3222bb47980d06660607d3e74ebeb4bffb590d11a" dmcf-pid="6rhZ4OjJI3" dmcf-ptype="general">카스퍼스키는 이번 캠페인이 단순히 문서를 훔치는 전통적인 스파이 활동을 넘어, 사용자의 일거수일투족을 감시하는 ‘실시간 감시’ 단계로 진화했다고 분석했다. 조사 과정에서 루미너스모스 조직과 코드 수준의 유사성이 발견돼 해킹 그룹 간에 공격 도구를 정밀하게 공유하고 있을 가능성도 제기됐다. 더구나 USB 웜인 ‘톤디스크(TONEDISK)’를 활용해 폐쇄망까지 침투하려는 시도는 이들의 공격이 얼마나 심각한지를 잘 보여주는 대목이다.</p> <p contents-hash="fd08924c5d692fcc8228e5564f66bc87a1c5017ca4d247c1da6137729045a5e6" dmcf-pid="Pml58IAiDF" dmcf-ptype="general">정부 부처와 텔레콤 운영사 등 국가 핵심 인프라가 이들의 중대한 타깃이 되고 있어, 엔드포인트 보안 강화가 어느 때보다 시급하다. 결론적으로 머스탱 판다의 쿨클라이언트 업데이트는 중국발 사이버 스파이 위협이 갈수록 정교하고 심각해지고 있음을 증명하는 사례다.</p> </section> </div> <p class="" data-translation="true">Copyright © 보안뉴스. 무단전재 및 재배포 금지.</p> 관련자료 이전 임수향, 예능 촬영 중 건강이상…다리 절뚝이고 탈진까지(‘뛰산2’) 02-01 다음 '네트워크 안정화법' 발의…CDN도 영향권 들어오나 02-01 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
