요약 : 보안 외신 해커뉴스에 의하면 APT 단체인 샌드맨(Sandman)이 중국 해커들이 사용하는 것으로 알려진 키플러그(KEYPLUG) 백도어와 연결되어 있다고 보안 업체 센티넬원(SentinelOne), PwC, 마이크로소프트(Microsoft)가 합동으로 발표했다고 한다. 샌드맨이 사용하는 멀웨어인 루아드림(LuaDream)과 키플러그가 거의 항상 같은 피해자의 네트워크에서 발견되기 때문이다. 또한 공격 인프라와 제어 장치, 관리 방법까지 겹칠 때가 많다고 세 회사는 밝혔다. 루아드림과 키플러그에서 역시 공동으로 개발된 흔적들이 나오고 있다.


배경 : 키플러그의 배후에 있는 조직의 경우, MS는 스톰0866(Storm-0866), PwC는 레드데브40(Red Dev 40)으로 부르고 추적한다. 샌드맨은 2023년 9월 처음 발견된 조직으로, 중동과 서유럽, 남아시아의 통신 기관들을 주로 공략하는 것으로 알려져 있다. 스톰0866도 중동과 남아시아의 조직들을 노리는 편이다.

말말말 : “샌드맨은 APT 단체이고, 스톰0866은 민간 해킹 단체인 것으로 보입니다. 그런데 둘이 힘을 합한다는 건, 중국 사이버 공격자들의 생태계가 다른 나라의 그것과 사뭇 다르다는 걸 나타냅니다. 중국의 위협을 상대한다는 건, 우리가 알고 있는 상식을 많이 벗어나는 일이 될 수 있습니다.” -해커뉴스-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>