CRESCENTHARVEST: 이란 시위 지지자를 대상으로 한 RAT 악성코드 배포 스파이웨어 캠페인

**Acronis 위협 연구팀(Threat Research Unit, TRU)**의 사이버보안 연구원들은 이란에서 진행 중인 시위 지지자들을 대상으로 한 정교한 사이버 스파이웨어 캠페인 CRESCENTHARVEST를 발견했습니다. 이 작전은 2026년 1월 9일부터 활발히 진행되었으며, **원격 접근 트로이목마(RAT)**를 배포해 정보 유출 및 장기 감시를 목적으로 하고 있습니다.

기술적 세부 사항

현재 모든 **침해 지표(Indicators of Compromise, IOC)**가 공개되지는 않았지만, Acronis TRU는 이 캠페인이 RAT 악성코드를 활용해 침해된 시스템에 지속적인 접근 권한을 확보하고 있음을 확인했습니다. RAT는 위협 행위자가 다음과 같은 활동을 가능하게 합니다:

• 민감한 데이터 유출 (예: 문서, 자격 증명, 통신 내용)
• 키로깅, 화면 캡처, 마이크/웹캠 접근을 통한 감시 활동
• 장기적인 스파이 활동을 위한 지속성 유지

이란 시위 지지자를 표적으로 삼은 점은 국가 지원 또는 정치적으로 동기 부여된 위협 행위자와 연관이 있을 가능성이 있으나, 아직 명확한 귀속은 확인되지 않았습니다. 이 캠페인의 인프라와 전술은 지능형 지속 위협(Advanced Persistent Threat, APT) 방법론과 일치하며, 은밀성과 데이터 유출을 우선시합니다.

영향 분석

CRESCENTHARVEST 캠페인은 표적 개체에게 다음과 같은 중대한 위험을 초래합니다:

• 개인정보 침해: 개인 통신, 연락처, 시위 관련 활동 노출
• 작전 보안(OPSEC) 실패: 침해된 기기를 통해 시위 네트워크, 전략 또는 다른 지지자들의 신원이 노출될 수 있음
• 신체 안전 위협: 억압적인 정권 하에서 디지털 감시는 체포나 괴롭힘으로 이어질 수 있음

이란과 연계된 조직이나 지역 옹호 단체는 이 캠페인을 통해 표적 스파이 활동에 대한 경각심을 높여야 합니다.

권고 사항

보안 팀과 위험에 노출된 개인들은 다음 조치를 취해야 합니다:

1. 엔드포인트 보호 강화: RAT 동작을 식별할 수 있는 고급 위협 탐지 도구(예: 비정상적인 네트워크 트래픽, 무단 프로세스 실행)를 배포합니다.
2. IOC 모니터링: Acronis TRU 또는 다른 위협 인텔리전스 제공업체의 추가 정보를 기다리며 방어 체계를 업데이트합니다.
3. OPSEC 모범 사례 채택: 암호화된 통신을 사용하고, 민감한 데이터를 개인 기기에 저장하지 않으며, 시위 관련 활동을 일상적인 디지털 사용과 분리합니다.
4. 보안 인식 교육 실시: 피싱 위험, 사회 공학, RAT 감염 징후(예: 시스템 성능 저하, 예상치 못한 팝업)에 대해 사용자 교육을 진행합니다.

Acronis TRU는 캠페인에 대한 추가 조사를 진행 중이며, 더 많은 IOC와 공격 벡터가 확인되는 대로 업데이트를 제공할 예정입니다.