Cisco Talos가 공개한 중국 연계 APT UAT-8302는 OneDrive·Dropbox·Yandex를 C2 채널로 활용해 남미·동남유럽·러시아 정부를 6개월 이상 잠복 침투했다. NetDraft·CloudSorcerer 도구 분석.
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.
2024년 11월, 남미 소재 정부 기관의 네트워크 모니터링 시스템이 비정상 트래픽을 포착했다. 의심스러운 것은 패킷의 목적지였다. 외부로 나가는 연결이 향한 곳은 합법적인 Microsoft OneDrive 엔드포인트였고, 트래픽 볼륨도 사무용 OneDrive 동기화와 구분이 어려울 만큼 의도적으로 조절돼 있었다. 사고대응팀이 역추적을 시작했을 때 공격자는 이미 내부 네트워크에서 6개월 이상 활동하고 있었다.
Cisco Talos가 2026년 5월 5일 공개한 보고서에 따르면, 이 침투를 주도한 것은 중국 정부 연계로 고신뢰 평가된 APT 그룹 UAT-8302다. 이 그룹은 남미, 동남유럽, 러시아에 걸친 3개 권역 정부 기관을 표적으로 삼고, 클라우드 서비스를 C2 채널로 활용해 기존 탐지 체계를 우회한다.
핵심 요약
| 항목 | 내용 |
|---|---|
| 귀속 | 중국 정부 연계 (Cisco Talos 고신뢰) |
| 활동 기간 | 2024년 중반 ~ 2026년 5월 (공개 기준) |
| 표적 권역 | 남미·동남유럽·러시아 정부 기관 |
| 주력 도구 | NetDraft, CloudSorcerer v3, SNAPPYBEE/DeedRAT |
| 운영 특이점 | OneDrive·Dropbox·Yandex를 C2로 순환 활용 |
UAT-8302는 Cisco Talos가 부여한 미분류 위협 행위자 식별자다. "UAT(Uncategorized Threat Actor)"는 아직 기존 알려진 그룹과 귀속이 확정되지 않은 클러스터를 지칭하는 Talos의 내부 분류 체계다. 공개된 MITRE Groups ID는 현재까지 없으며, 2026년 5월 보고서가 이 그룹의 공식 첫 공개 문서다.
귀속 근거는 다층적이다. 중국 정부 연계는 Cisco Talos 고신뢰 수준으로 평가됐으며, 도구의 코드베이스와 인프라가 이미 알려진 중국 연계 APT 클러스터들과 겹친다. NetDraft 백도어는 Ink Dragon, Earth Alux, Jewelbug, REF7707 등 5개 이상의 위협 클러스터와 동일 코드베이스를 공유한다. REF7707은 LongNosedGoblin, CL-STA-0049로도 불린다. Kaspersky는 CloudSorcerer 3.0 변종을 통해 Erudite Mogwai(Space Pirates, Webworm) 와의 연관성도 별도 보고했다.
이 도구 공유 패턴은 우연한 모방이 아니다. 5개 클러스터가 같은 코드베이스를 운용한다는 것은 단일 방어자가 NetDraft 탐지 규칙을 배포해도 공격자 측이 다른 클러스터로 동일 임무를 이어갈 수 있음을 의미한다. Check Point Research가 Ink Dragon 보고서에서 분석한 것처럼, 동일 코드가 복수 그룹에서 운용된다는 것은 중국 국가 수준 APT 생태계 내에서 조율된 자원 배분이 이뤄지고 있음을 보여준다.
선호 타깃: 정부 기관으로 일관된다. 남미, 동남유럽, 러시아로 이어지는 지리적 분산은 외교·정보 수집을 목적으로 하는 전략적 선택으로 해석된다. 민간 기업이나 금융권을 대상으로 한 사례는 현재까지 공개 보고에 없다.
운영 시그니처: UAT-8302를 다른 중국 연계 APT와 구별하는 가장 뚜렷한 특징은 클라우드 서비스 C2 활용이다. NetDraft는 Microsoft Graph API를 통해 OneDrive를 C2 채널로 사용하고, CloudSorcerer는 OneDrive, Dropbox, Yandex Cloud 세 서비스를 순환하며 활용한다. 방화벽과 DLP 솔루션 대부분이 합법적 클라우드 트래픽을 화이트리스트 처리하는 점을 역이용한 전략이다.
잠복 기간: 남미 캠페인에서 확인된 침투 잠복 기간은 6개월 이상이다. 이 기간 동안 합법적 클라우드 트래픽 볼륨에 맞춰 통신량을 조절하며 이상 탐지를 회피했다. 즉각적인 데이터 추출보다 장기 접근 유지에 더 높은 우선순위를 두는 운영 방식이다.
초기 접근 벡터: 공개 보고서에서 특정 CVE는 공개되지 않았으나, N-day 및 제로데이 취약점 악용이 확인됐다. 피싱 기반 초기 침투는 현재까지 확인된 사례에 없다.
러시아 정부 기관 캠페인 (2024년 중반): Kaspersky Securelist가 2024년 처음 공개한 CloudSorcerer 캠페인이 UAT-8302의 초기 알려진 활동이다. OneDrive, Yandex Cloud, Dropbox를 C2 인프라로 순환 사용했으며, 클라우드 API 인증 토큰을 통해 명령을 수신하고 데이터를 클라우드 스토리지에 스테이징했다. 러시아 정보 당국은 이 캠페인을 Erudite Mogwai와의 연관성으로 별도 추적했다.
남미 정부 침투 (2024년 말~): 복수의 남미 정부 기관이 표적이 됐다. NetDraft가 주력 백도어로 투입됐으며, Draculoader가 추가 셸코드 페이로드를 전달하는 멀티스테이지 구조로 운영됐다. 확인된 잠복 기간만 6개월 이상이며, 합법적 OneDrive 트래픽에 숨어 조직의 방어 체계를 우회했다. 이 캠페인이 Cisco Talos의 UAT-8302 보고서 작성 기반이 된 핵심 사건이다.
동남유럽 정부 기관 (2025): 2025년 들어 동남유럽 정부 기관으로 표적이 확장됐다. SNAPPYBEE(DeedRAT)가 처음 확인됐으며, SoftEther VPN과 Stowaway 프록시를 통한 지속적 터널 유지가 관찰됐다. 이 캠페인에서는 러시아 캠페인에서 사용된 CloudSorcerer 대신 NetDraft가 주력으로 전환됐다는 점이 특징이다. 탐지 회피를 위해 도구를 권역별로 달리 선택하는 운영 전문성을 보여준다.
NetDraft (NosyDoor): Cisco Talos가 명명한 .NET 기반 백도어로, FINALDRAFT 및 Squidoor의 변종이다. Microsoft Graph API를 활용해 OneDrive를 C2 채널로 사용하며, 인증 토큰 기반 통신으로 합법적 Microsoft 365 트래픽과 구분이 어렵다. 동일 코드가 Ink Dragon, Earth Alux, Jewelbug, REF7707 등 5개 이상의 중국 연계 클러스터에서 확인되는 공유 무기다.
SNAPPYBEE (DeedRAT): ShadowPad의 후속 모듈형 백도어다. 서명된 합법 실행 파일을 통해 DLL 사이드로딩으로 실행되며, 로더 DLL과 암호화된 페이로드의 이중 구조로 파일 시그니처 기반 탐지를 우회한다. ARC4 암호화에서 페이로드 앞 16바이트를 복호화 키로 사용한다. Darktrace 분석에 따르면, 감염 후 Cobalt Strike와 Demodex 루트킷이 추가로 배포된다.
CloudSorcerer v3: Kaspersky가 2024년 처음 공개한 클라우드 C2 백도어의 3번째 버전이다. OneDrive가 차단되면 Dropbox로, Dropbox가 차단되면 Yandex로 자동 전환한다. 개별 서비스 차단만으로는 C2 연결을 끊을 수 없는 구조다. 클라우드 스토리지를 명령 스테이징 지점으로 활용하는 방식은 기업 환경의 클라우드 화이트리스트 정책을 역이용한다.
보조 도구로는 내부 정찰에 Impacket과 gogo, 프록시 터널링에 Stowaway와 SoftEther VPN이 확인됐다. SNOWLIGHT/SNOWRUST는 VSHELL 스테이저로 추가 페이로드를 전달한다.
남미 정부 기관이 6개월간 침투를 탐지하지 못한 핵심 이유는 UAT-8302가 C2 트래픽을 합법적 OneDrive 사용 볼륨과 일치하도록 조절했기 때문이다. 이 운영 방식이 아래 기법 목록 전반을 관통하는 공통 원칙이다.
| 전술 | 기법 | 도구 |
|---|---|---|
| Initial Access | T1190 공개 취약점 악용 | N-day 익스플로잇 |
| Persistence | T1543 시스템 서비스 조작 | NetDraft, SNAPPYBEE |
| Defense Evasion | T1036 위장, T1027 난독화 | DLL 사이드로딩, ARC4 |
| Discovery | T1046 네트워크 서비스 스캔 | Impacket, gogo |
| Lateral Movement | T1021 원격 서비스 | Impacket |
| Exfiltration | T1048 대체 프로토콜 유출 | 클라우드 API 스테이징 |
UAT-8302의 클라우드 C2 전략(T1102)은 중국 연계 APT 생태계 전반에서 확산되는 패턴이다. MirrorFace가 일본·유럽 외교 기관 공격에서 클라우드 스토리지를 활용한 것과 Salt Typhoon이 합법 감청 인프라를 역이용한 것처럼, 탐지 회피를 위한 "합법 인프라 무기화"는 중국 국가 APT의 공통 운영 철학으로 굳어지고 있다.
UAT-8302가 차별화되는 지점은 단일 클라우드 서비스에 의존하지 않는 다중 채널 구조다. OneDrive, Dropbox, Yandex를 순환하는 구조에서 방어자가 특정 서비스를 차단하면 공격자는 다음 채널로 자동 전환된다. 개별 서비스 IoC를 아무리 쌓아도 C2를 끊을 수 없는 이유가 여기 있다.
이 패턴은 향후 탐지 전략이 단일 서비스 IoC 기반에서 "클라우드 API 비정상 통신 패턴" 감지로 전환돼야 함을 시사한다. 남미 사건에서 역추적이 시작됐을 때 공격자는 이미 6개월을 버텼다. 이 전환은 사후 분석의 교훈이 아니라 현재 방어 체계의 맹점이다.
관련 글 더 보기
AI 활용 안내 이 글은 AI(Claude)의 도움을 받아 작성되었습니다. 인용된 통계와 사례는 참고 자료에 명시된 출처에 근거하며, 설명을 위한 일부 표현은 각색되었습니다.
면책 조항 본 글은 보안 인식 제고를 위한 교육 목적으로 작성되었습니다. 언급된 공격 기법을 실제로 시도하는 행위는 「정보통신망법」, 「형법」 등에 따라 처벌받을 수 있으며, 본 블로그는 이에 대한 법적 책임을 지지 않습니다.
KW_PROTECT_0