Infy 위협 그룹, 은밀한 C2 인프라 업그레이드로 사이버 스파이 활동 재개

이란 APT 그룹 Infy, 정교한 회피 전술로 활동 재개

이란의 지능형 지속 위협(APT) 그룹 Infy(Prince of Persia로도 추적됨)가 이란의 전국 인터넷 차단이 종료된 후 사이버 스파이 활동을 재개했습니다. 보안 연구원에 따르면, 위협 행위자는 새로운 명령 및 제어(C2) 인프라를 배포하는 동시에 탐지 회피 전술을 정교화하고 있습니다.

주요 동향 및 타임라인

• 활동 중단: Infy는 2026년 1월 8일 기존 C2 서버 유지 관리를 중단하며 추적 시작 이후 첫 운영 중단을 기록했습니다.
• 인터넷 차단: 그룹의 비활동은 이란의 전국 인터넷 차단과 일치했으며, 이는 2026년 2월 초 국내 불안으로 인해 실시되었습니다.
• 활동 재개: 인터넷 서비스가 복구되면서 Infy는 새로운 회피 기법을 통합한 C2 인프라를 재구축했습니다.

업데이트된 전술의 기술 분석

Infy는 역사적으로 정부 기관, 반체제 인사, 지역 적대 세력을 스피어피싱 캠페인과 맞춤형 악성코드로 표적 삼아왔습니다. 새로운 C2 인프라의 세부 사항은 공개되지 않았지만, 보안 분석가들은 다음과 같은 개선 사항을 주목했습니다:

• 도메인 생성 알고리즘(DGA): C2 도메인을 동적으로 생성하는 DGA의 잠재적 사용으로, 차단 노력을 복잡하게 만듭니다.
• 트래픽 난독화: 악성 트래픽을 위장하기 위한 암호화된 터널링(예: DNS-over-HTTPS 또는 VPN 기반 통신)의 가능성.
• Living-off-the-Land 바이너리(LOLBins): 포렌식 흔적을 줄이기 위한 합법적 시스템 도구의 증가된 활용.
• Fast-Flux 호스팅: C2 도메인과 연관된 IP 주소의 빠른 순환으로 블랙리스트 회피.

영향 및 귀속

Infy의 활동은 이란 국가 지원 사이버 스파이 목적과 일치하며, 정보 수집 및 감시에 중점을 둡니다. 그룹의 활동 재개는 지정학적 혼란에도 불구하고 테헤란의 사이버 역량 투자 지속을 강조합니다.

• 대상: 중동 정부, 활동가, 외국 외교 공관이 포함될 가능성이 높습니다.
• 동기: 주로 전략적 정보 수집이며, 부차적 목표는 영향력 작전과 연관될 수 있습니다.

방어 권고 사항

보안 팀은 Infy의 업데이트된 전술을 탐지하고 차단하기 위해 다음 완화 조치를 우선시해야 합니다:

1. 네트워크 모니터링

   • 행위 분석을 배포하여 비정상적인 C2 통신 패턴을 식별합니다.
   • 새로 등록된 도메인이나 알려진 악성 IP 범위로의 이상한 아웃바운드 트래픽을 모니터링합니다.

2. 엔드포인트 보호

   • 애플리케이션 화이트리스트를 구현하여 승인되지 않은 LOLBin 실행을 차단합니다.
   • 고급 위협 탐지(예: EDR/XDR 솔루션)를 활성화하여 의심스러운 프로세스 주입이나 횡적 이동을 탐지합니다.

3. 위협 인텔리전스

   • Infy의 진화하는 인프라(예: C2 도메인, 악성코드 해시)에 대한 최신 정보를 얻기 위해 APT 전용 위협 피드를 구독합니다.
   • 이란 연계 위협 그룹과 지표(IOC)를 연계하여 경고의 맥락을 파악합니다.

4. 사용자 인식

   • Infy의 일반적인 감염 벡터인 스피어피싱 유인을 인식하도록 사용자를 훈련하기 위해 표적 피싱 시뮬레이션을 실시합니다.

5. 사고 대응

   • Infy의 악성코드 패밀리(예: Foudre, Tonnerre)에 대한 containment 전략을 포함한 이란 APT 활동 대응 플레이북을 개발합니다.

결론

Infy의 활동 재개는 국가 지원 위협 행위자의 회복력과 지정학적 혼란에 적응하는 그룹을 추적하는 어려움을 강조합니다. 정부, 국방, 인권 등 고위험 분야의 조직은 Infy가 여전히 활발한 위협이라고 가정하고 방어를 조정해야 합니다.

추가 IOC 및 기술 분석은 CrowdStrike, Mandiant 또는 원본 Hacker News 공개 자료(출처)를 참조하세요.