어떤 직원이 사내 메일함에서 'Employee Survey' 안내문을 받았다. PDF 하나를 열었을 뿐이다.
몇 분 뒤 Microsoft Teams가 울렸다. 발신자 표시명은 'System Administrator'였다. 회사 IT 부서인 줄 알고 화면 공유를 승낙한 순간, 회사 내부 시스템은 외부 공격자의 손 안에 들어갔다.
2026년 6월 28일 Palo Alto Networks Unit 42가 GitHub에 올린 관측 기록의 첫 장면이다. 여기까지는 2024년부터 반복돼 온 소셜 엔지니어링 각본이다.
그러나 이번 캠페인이 다른 이유는 마지막 단계에 있다. 감염된 컴퓨터가 다음 명령을 받으러 접속하는 곳은 서버가 아니었다. 이더리움 블록체인의 스마트 컨트랙트였다.
무슨 일이 있었나
Unit 42가 공개한 관측 로그는 짧지만 정확하다. 공격은 4단계로 진행됐다.
먼저 이메일이 도착했다. HTML로 렌더링된 'Employee Survey' 안내와 EE Survey - How to log on.pdf라는 첨부 파일.
피해자가 문서를 열자, 몇 분 안에 Microsoft Teams 통화가 걸려왔다. 발신 계정은 helpdesk@Progressive936.onmicrosoft.com, 표시명은 'System Administrator'였다. 회사 안의 IT 지원 요청 같은 겉모습이지만, 실제로는 다른 조직의 계정이 외부에서 걸어온 통화였다.
공격자는 Teams 화면 공유 기능으로 피해자 화면을 넘겨받은 뒤, 직접 웹 브라우저를 열어 HopToDesk 웹사이트로 이동했다. 피해자에게 다운로드 버튼을 누르게 하고 무료 원격 데스크톱 도구를 설치시켰다. 이어서 AnyDesk도 같은 방식으로 설치됐다. 두 도구 모두 정상 소프트웨어라 대부분의 엔드포인트 보안 제품은 경고를 띄우지 않는다.
원격 제어가 안정된 뒤, 공격자는 hxxps://camorreado[.]click/v7.msi 경로에서 MSI 설치 파일을 내려받아 실행했다. Unit 42가 확인한 이 배포 서버에는 v1부터 v9까지 여러 빌드가 준비돼 있었다.
EtherRAT의 정체
MSI가 하는 일은 놀랍게도 단순했다. 우선 정상 Node.js 런타임 v18.20.5를 다운로드한다.
그다음 디렉터리 이름을 1DIZ0D 같은 랜덤 문자열로 바꾼다. 마지막으로 conhost --headless 옵션으로 창 없이 node.exe를 실행해 z0SYYdWk9g.dat라는 JavaScript 로더를 돌린다.
이 로더가 바로 EtherRAT이다. Node.js 위에서 도는 크로스플랫폼 원격 제어 트로이 목마로, 명령 실행·파일 조작·데이터 탈취·지속성 유지 기능을 갖췄다. 지속성은 사용자 레지스트리의 자동 실행 키 아래에 OneDriveSetup이라는 이름으로 위장 등록됐다. OneDrive처럼 보이지만 OneDrive가 아니다.
Node.js 런타임 자체는 정상 파일이라 서명 검증도 통과한다. 악성 요소는 그 위에서 실행되는 JavaScript 한 조각뿐이다. 이 구조가 이 캠페인의 첫 번째 회피 지점이다.
C2를 블록체인에 두다
두 번째, 그리고 더 결정적인 지점이 있다. EtherRAT이 실행되면 가장 먼저 하는 일은 명령을 받으러 갈 서버(C2, Command and Control) 주소를 알아내는 것이다. 그런데 이 주소는 코드 안에 하드코딩돼 있지 않다. 이더리움 메인넷의 스마트 컨트랙트 0x6e044e19000487c4a6e6af15b4132a5561b5ee1f에 문자열로 저장돼 있다.
컨트랙트를 조회하면 현재 활성 C2 URL이 반환된다. Unit 42가 확인한 C2 인프라는 여러 Azure 클라우드 리전에 흩어져 있다. 오스트레일리아 동부, 스웨덴 중부, 남아프리카 북부 등의 Azure 도메인이 순환하며 사용됐다.
이 방식이 방어자에게 왜 심각한 문제인지는 단순하다. 도메인 하나가 압류당하더라도, 공격 운영자는 컨트랙트의 문자열 저장 함수(setString) 호출 한 번으로 새 C2 주소를 밀어 넣을 수 있다. 그러면 전 세계 감염된 기계들이 다음 조회 때 자동으로 새 서버에 붙는다.
블록체인은 되돌릴 수 없고, 컨트랙트는 지울 수 없다. 감염된 기계의 이더리움 RPC 조회는 정상 Web3 트래픽으로 보인다.
왜 이 사건이 중요한가
이 캠페인은 두 개의 서로 다른 흐름이 처음으로 한 지붕 아래 모인 사례다. 한쪽은 Teams IT 지원 사칭으로 초기 접근을 뚫는 소셜 엔지니어링 계보다. 다른 한쪽은 퍼블릭 블록체인에 C2 인프라를 얹는 EtherHiding 계보다.
지금까지 두 갈래는 서로 다른 그룹이 각자의 지점에서 발전시켜 왔다. EtherRAT은 이 둘이 한 캠페인 안에서 처음으로 붙어 있는 형태다.
2024년, Black Basta 랜섬웨어 계열 조직이 새로운 각본을 완성했다. 이메일 폭탄으로 대상을 몰아붙인 뒤, 전화로 IT 지원을 사칭해 Quick Assist 원격 제어를 얻어낸다. Microsoft는 이 클러스터를 Storm-1811로 명명했다.
2024년 5월 말부터는 통화 채널이 전화에서 Microsoft Teams로 옮겨갔다. 이 흐름은 이후 제조·건설·식음료·운송 산업 등을 폭넓게 훑었다.
같은 시기, 완전히 다른 방향에서 블록체인이 C2 인프라로 쓰이기 시작했다. 2023년 10월 Guardio Labs가 이 기법에 EtherHiding이라는 이름을 붙였다.
2025년 10월 Google Threat Intelligence Group이 UNC5142 그룹의 캠페인을 상세히 공개했다. 침해된 WordPress 사이트 약 1만 4천 개에서 BNB Smart Chain 스마트 컨트랙트를 통해 인포스틸러를 배포하는 방식이었다. 같은 달 Google은 북한 위협 그룹이 이 기법을 채택했다고도 밝혔다.
REVELARE에서도 이 두 번째 흐름은 이미 다뤘다. 어제 발행한 북한 PolinRider 캠페인은 개발자 생태계에 108개 악성 패키지를 뿌렸다. 그 페이로드는 공용 블록체인에 올라가 있어 방어자가 지울 수 없었다. 방식이 다를 뿐 발상은 같다.
EtherRAT은 이 두 흐름이 한 캠페인 안에서 처음 만난 형태다. 초기 접근은 Black Basta의 각본을 그대로 따른다. C2 인프라는 EtherHiding의 진화형을 그대로 얹었다.
Unit 42는 리포트에서 EtherRAT을 특정 알려진 그룹에 귀속시키지 않았다. 다만 공격 조립 방식은 두 계보의 노하우가 합쳐지고 있다는 신호다.
이런 결합의 함의는 방어자 관점에서 무겁다. 초기 접근 지점은 사람의 신뢰를 파고든다. 최종 인프라는 도메인 압류나 IP 차단으로 무력화할 수 없는 퍼블릭 블록체인에 놓여 있다. 두 지점 모두 전통적 방어 도구가 다루기 어려운 영역이다.
한국에서는
현재까지 국내 조직을 대상으로 한 EtherRAT 관측이나 Teams cross-tenant 통화로 시작된 사회공학 침해는 KISA·안랩 공개 자료에서 확인되지 않는다.
다만 몇 가지 구조적 사실은 짚어둘 만하다. 한국 대기업과 공공기관 상당수는 Microsoft 365를 표준 협업 도구로 채택하고 있다. 이 캠페인이 파고든 벡터인 외부 tenant로부터의 Teams 초대와 통화는 Microsoft 365의 기본 기능이다. 국내에서 관측된 적이 없다는 것은 이 공격 벡터가 국내에서 작동하지 않는다는 뜻이 아니라, 아직 보고되지 않았다는 뜻이다.
관련된 국내 신호도 있다. KISA에 따르면 2025년 국내 침해 사고 신고는 2,383건으로 전년 대비 26.3% 증가했다. 안랩은 SKT 유심 정보 유출 사건 이후 KISA를 사칭한 피싱 이메일이 유포된 사례를 보고했다.
신뢰 기관 사칭을 통한 소셜 엔지니어링은 국내에서도 이미 관측되는 흐름이다. 통화 채널이 Teams로 옮겨오는 것은 시간 문제다. REVELARE도 이 계보를 Scattered Spider의 IT 사칭 비싱에서 다룬 바 있다.
남는 질문
Unit 42 리포트는 표적 산업이나 국가를 밝히지 않았고, 관측된 피해자 수도 공개하지 않았다. 배포 서버 camorreado[.]click에 v1부터 v9까지 여러 빌드가 준비돼 있었다는 사실은 이 캠페인이 일회성이 아니라는 것을 시사한다.
가장 큰 질문은 방어 측이 남는다. 이더리움 스마트 컨트랙트는 지울 수 없다. 컨트랙트를 만든 지갑 주소를 추적해 자금세탁 통로를 좁힐 수는 있지만, 인프라 자체를 무력화하는 전통적 takedown은 불가능하다.
domain sinkholing으로 대응해 온 세계가 끝나고 있다는 신호는 이번 사건 한 건이 아니다. 그 흐름의 앞자락에 이 사건이 서 있다. 회사 IT 부서인 줄 알고 받은 Teams 통화 한 통에서 시작된 침해가, 블록체인 위에서 지워지지 않는 인프라로 이어진다. EtherRAT이 다음 캠페인들에 물려줄 조립도가 바로 이 조합이다.
참고 자료
관련 글 더 보기
안내 및 법적 고지
AI 활용 안내
이 글은 AI(Claude)의 도움을 받아 작성되었습니다.
인용된 통계와 사례는 참고 자료에 명시된 출처에 근거하며, 설명을 위한 일부 표현은 각색되었습니다.
면책 조항
본 글은 보안 인식 제고를 위한 교육 목적으로 작성되었습니다.
언급된 공격 기법을 실제로 시도하는 행위는 「정보통신망법」, 「형법」 등에 따라
처벌받을 수 있으며, 본 블로그는 이에 대한 법적 책임을 지지 않습니다.