아마란스-드래곤: 중국 지원 APT, 동남아 스파이 활동에 WinRAR 취약점 악용

중국 지원 아마란스-드래곤, WinRAR 취약점을 악용한 표적 스파이 활동

Check Point Research는 중국과 연계된 위협 행위자가 수행한 이전에는 문서화되지 않았던 사이버 스파이 캠페인인 **아마란스-드래곤(Amaranth-Dragon)**을 확인했다. 2025년 내내 활동한 이 작전은 정보 수집을 목적으로 캄보디아를 포함한 동남아시아 전역의 정부 및 법 집행 기관을 표적으로 삼았다.

**기술적 세부 사항: WinRAR 취약점 핵심 악용

이 캠페인은 WinRAR(버전 6.23 이전)의 심각한 취약점인 CVE-2023-38831을 악용한다. 이 취약점은 특별히 조작된 압축 파일로 **원격 코드 실행(RCE)**을 가능하게 한다. 공격자는 피해자가 악성 아카이브를 합법적인 문서로 위장한 파일을 열도록 유도하여 피해자 시스템에서 임의의 코드를 실행할 수 있다.

Check Point의 분석에 따르면 아마란스-드래곤은 APT41과 인프라 및 전술적 유사성을 공유한다. APT41은 국가 지원 스파이 활동과 금전적 동기가 있는 사이버 범죄로 잘 알려진 중국의 고급 지속 위협(APT) 그룹이다. 캠페인의 전체 범위는 아직 조사 중이지만, 초기 조사 결과 다음의 사용이 확인되었다:

• 지속성 및 데이터 유출을 위한 맞춤형 악성코드 페이로드
• 스피어 피싱 이메일을 주요 전달 수단으로 사용
• 탐지 회피를 위한 Living-off-the-land(LotL) 기법

**영향 및 전략적 의미

정부 및 법 집행 기관을 표적으로 삼은 것은 특히 지정학적 이해관계가 있는 지역에서 중국의 역사적 사이버 스파이 목적과 일치한다. 동남아시아는 APT41, Mustang Panda 등 APT 그룹의 활동이 빈번한 핫스팟으로 오랫동안 알려져 왔다.

이 캠페인으로 인한 주요 위험은 다음과 같다:

• 민감한 정부 및 정보 데이터 유출
• 법 집행 통신 및 조사 정보 침해
• 유출된 자격 증명 또는 내부 접근 권한을 이용한 후속 공격 가능성

**방어 권고 사항

고위험 부문의 보안 팀은 다음 완화 조치를 우선시해야 한다:

1. 패치 관리: CVE-2023-38831 완화를 위해 WinRAR을 버전 6.23 이상으로 업데이트한다.
2. 이메일 보안: 특히 아카이브 첨부 파일이 포함된 스피어 피싱 시도를 탐지하고 차단하기 위한 고급 위협 보호를 배포한다.
3. 엔드포인트 탐지 및 대응(EDR): WinRAR에서 실행된 비정상적인 프로세스(cmd.exe 또는 powershell.exe) 및 횡적 이동을 모니터링한다.
4. 사용자 인식 교육: 아카이브 파일을 열기 전에 발신자 진위 확인을 교육한다. 신뢰할 수 있는 출처로 보이는 경우에도 주의한다.
5. 네트워크 세분화: 잠재적 침해의 영향을 줄이기 위해 민감한 시스템에 대한 접근을 제한한다.

Check Point Research는 아마란스-드래곤의 활동을 지속적으로 추적하며, 조사 진행에 따라 추가 정보를 공개할 예정이다. 표적이 된 부문의 조직은 경계심을 유지하고 의심스러운 활동을 관련 사이버 보안 당국에 보고해야 한다.