이란 APT Screening Serpens(UNC1549)가 2026년 배포한 6종 RAT 변형과 AppDomainManager 하이재킹 기법을 분석합니다. 채용 피싱부터 Azure C2 인프라까지 전술 전반을 다룹니다.
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.
2026년 2월 28일, 중동 지역에서 분쟁이 재점화된 날. Screening Serpens는 이미 스피어피싱 페이로드를 배포하고 있었다. 이 그룹은 2022년 최초 발견 이래 지정학 사건과 캠페인 개시 시점을 반복적으로 일치시켜 왔다. Unit 42가 추적한 2026년 2~4월 캠페인에서는 6종의 신형 RAT 변형이 등장했으며, 이들의 공통 로드 수단으로 AppDomainManager 하이재킹이 처음 대규모 확인됐다. .NET 런타임 설정 파일 하나로 EDR 텔레메트리를 차단하며 정상 프로세스 안에 숨는다. 기존 메모리 패치 탐지 방식이 전제하는 공격 경로를 우회한다는 점에서 방어 측 분석가에게 직접적인 함의를 갖는다.
| 항목 | 내용 |
|---|---|
| 그룹명 | Screening Serpens (Unit 42) |
| 별칭 | UNC1549 · Smoke Sandstorm · Iranian Dream Job · Nimbus Manticore |
| 활동 시기 | 2022년~ |
| 타깃 부문 | 항공우주 · 방산 · 통신 |
| 2026 신형 RAT | MiniUpdate (4종) · MiniJunk V2 (2종) |
Screening Serpens는 Palo Alto Networks Unit 42가 붙인 명칭이다. 같은 그룹을 Mandiant는 UNC1549, Microsoft는 Smoke Sandstorm, Check Point는 Nimbus Manticore로 추적한다. "Iranian Dream Job"이라는 별칭은 이 그룹의 시그니처 전술인 위조 채용 공고 기반 스피어피싱에서 유래했다.
이란 정보기관과의 연계는 추정 수준이다. 현재 MITRE ATT&CK에는 별도 G번호로 등록되어 있지 않으나, 이란 첩보 목적에 부합하는 활동 패턴이 복수의 독립 연구 기관에 의해 반복적으로 문서화되고 있다. 2022년 최초 발견 이래 타깃 범위와 기술 역량이 꾸준히 확대됐다.
운영 시그니처: 위조 채용 포털, 화상회의 플랫폼 사칭, 링크드인 직무 기술서를 경로로 사용하는 스피어피싱이 핵심 진입 수단이다. 2026년 캠페인에서는 OnlyOffice 서버(docspace-y4cumb.onlyoffice[.]com)를 C2 인프라로 위장해 기업 네트워크 내 정상 SaaS 트래픽과 구분되기 어렵게 만들었다.
선호 기법군:
| MITRE ID | 기법 | 역할 |
|---|---|---|
| T1598 | Phishing | 초기 접근 |
| T1574.001 | DLL Sideloading | 실행 체인 시작 |
| T1574.014 | AppDomainManager 하이재킹 | EDR 회피 + 페이로드 로드 |
| T1053 | Scheduled Task | 지속성 확립 |
타깃 패턴: 항공우주, 방산 제조, 통신 분야의 고부가가치 표적에 집중한다. 2026년 캠페인에서는 미국, 이스라엘, UAE, 중동 2개국의 조직이 피해를 입었다.
2022~2023: 중동 항공우주 타깃, MINIBIKE 첫 등장
ClearSky가 2023년 9월에 공개한 분석에서 이 그룹은 이스라엘, UAE, 터키, 인도, 알바니아의 항공우주 산업을 대상으로 MINIBIKE(SlugResin)와 SnailResin을 배포한 것으로 확인됐다. 두 악성코드 모두 합법적 클라우드 서비스를 C2로 활용해 기업 방화벽의 도메인 차단 규칙을 우회했다.
2024: Dream Job 캠페인, ZIP 피싱 확대
Screening Serpens는 2024년 10월 15일 이후 대량의 ZIP 피싱 아카이브를 배포했다. "Iranian Dream Job" 형식의 이 캠페인은 항공우주와 방산 공급망 전반으로 타깃 범위를 넓혔다.
2025년 9월: 서유럽 진출, 통신사 11곳 34대 기기 침해
2025년 9월 공개된 분석에 따르면 이 그룹은 캐나다, 프랑스, UAE, 영국, 미국의 통신사 11곳을 대상으로 공격을 감행해 34대의 기기를 침해했다. Check Point Research는 같은 시기 덴마크, 스웨덴, 포르투갈 등 서유럽으로의 작전 범위 확대를 별도로 문서화했다. 서유럽 활동이 처음으로 복수 기관에 의해 동시에 문서화된 시점이다.
2026년 2~4월: 분쟁 연동 캠페인, 6종 신형 RAT
2026년 2월 28일 중동 지역 분쟁 재점화 이후 캠페인이 본격화됐다. Unit 42는 같은 해 4월까지 MiniUpdate 4종과 MiniJunk V2 2종, 총 6종의 신형 RAT 변형을 확인했다.
이번 캠페인의 기술적 특징은 AppDomainManager 하이재킹이다. .NET 런타임이 실행 파일과 같은 디렉터리에서 자동으로 찾는 설정 파일(.exe.config)을 조작해 악성 어셈블리를 AppDomainManager로 로드한다. XML 설정 하나로 ETW 비활성화, 강력한 이름 서명 검증 우회, 게시자 정책 무시가 동시에 처리된다. Windows API 직접 호출 방식과 달리 .NET 런타임의 내장 기능을 그대로 활용하기 때문에 기존 메모리 패치 탐지 방식으로는 잡아내기 어렵다.
MINIBIKE (SlugResin): 2022년 처음 확인된 초기 RAT. 합법적 클라우드 서비스를 C2로 활용해 탐지를 회피한다. 2023년 ClearSky 분석에서 SnailResin과 함께 사용된 것으로 문서화됐다.
MiniJunk V2·MiniUpdate: 2026년 신규 개발된 RAT 변형 6종. Azure 도메인(azurewebsites.net)을 C2 인프라로 활용하며 AppDomainManager 하이재킹으로 로드된다. 확인된 C2 서버로는 licencemanagers.azurewebsites[.]net, NanoMatrix.azurewebsites[.]net이 있다.
AppDomainManager 하이재킹은 .NET CLR의 정상 기능을 활용하기 때문에 공격자가 남기는 흔적이 특정 위치에 집중된다. 2026 캠페인의 MiniUpdate·MiniJunk V2는 이 기법을 로드 수단으로 공유하기 때문에, 아래 흔적이 확인되면 단일 샘플 탐지를 넘어 캠페인 전체의 진입을 의심할 수 있다.
.config 파일 변조: Sysmon Event ID 11(FileCreate)로 .exe.config 파일의 appDomainManagerAssembly 및 appDomainManagerType 요소 추가를 추적할 수 있다. 합법적인 애플리케이션 배포 환경에서 이 요소가 사후에 변경되는 경우는 극히 드물다.
어셈블리 로드 이상 징후: Sysmon Event ID 7(ImageLoad)로 신뢰 프로세스가 예상치 못한 경로의 .NET 어셈블리를 로드하는 시점을 포착할 수 있다. AppDomainManager로 지정된 어셈블리가 애플리케이션의 공식 의존성 체인에 없는 경우가 탐지 포인트다.
ETW 공급자 중단: Microsoft-Windows-DotNETRuntime 공급자의 Event ID 152(AssemblyLoad) 이벤트 흐름이 특정 프로세스에서 갑자기 끊길 경우, ETW 비활성화가 의심된다.
Azure C2 패턴: *.azurewebsites.net 서브도메인으로의 비정상 아웃바운드 트래픽은 2022년 이래 이 그룹이 지속적으로 사용하는 C2 패턴이다. 방산·항공우주 환경에서 이 도메인 패턴이 관측되면 우선 조사 대상에 포함될 수 있다.
Screening Serpens는 2022년부터 항공우주·통신 분야를 겨냥해 왔고, 2026 캠페인에서 AppDomainManager 하이재킹이라는 .NET 런타임 고유의 회피 경로를 처음 대규모로 채택했다. 이 그룹의 진화 방향은 새 도구 개발보다 플랫폼 내장 기능의 악용으로 수렴하고 있으며, 그 흔적은 메모리가 아닌 설정 파일과 이벤트 흐름에 남는다.
AI 활용 안내 이 글은 AI(Claude)의 도움을 받아 작성되었습니다. 인용된 통계와 사례는 참고 자료에 명시된 출처에 근거하며, 설명을 위한 일부 표현은 각색되었습니다.
면책 조항 본 글은 보안 인식 제고를 위한 교육 목적으로 작성되었습니다. 언급된 공격 기법을 실제로 시도하는 행위는 「정보통신망법」, 「형법」 등에 따라 처벌받을 수 있으며, 본 블로그는 이에 대한 법적 책임을 지지 않습니다.