기업의 보안 탄력성을 강화하는
인텔리전스
엄선된 데이터, 심층적인 APT 연구 및 전문가의 실무 경험을 바탕으로 구축된 ESET 위협 인텔리전스를 통해
글로벌 위협을 예측하고 선제적으로 대응하세요.
기업의 보안 탄력성을 강화하는
ESET이 해결하는 주요 CTI 과제
ESET 위협 인텔리전스가 위협 인지 수준을
전략적 인텔리전스로 발전시키는 방법을 확인하세요.
전 세계적 및 신종 위협에 대한 가시성
ESET이 상대적으로 데이터가 부족한 지역에서 수집한 독보적인 관측 데이터를 통해 APT 및 악성코드를 조기에 탐지할 수 있습니다.
CTI 팀의 인력 부족 또는 역량 격차
전문가가 검증한 인텔리전스와 분석가 지원 옵션을 통해 업무 부담은 줄이고, 위협 이해도와 대응 속도는 높일 수 있습니다.
APT 행위자 및 진화하는 공격 캠페인 추적
ESET의 APT 보고서 및 IoC 스트림을 통해 최신 위협 상황을 지속적으로 파악할 수 있습니다.
위협 대응 속도와 과도한 위협 데이터 문제
AI Advisor, MISP 접근, 선별된 데이터 스트림 및 상세한 APT 분석 정보를 통해 신속하고 근거 있는 대응 결정을 내릴 수 있습니다.
CTI 통합 및 자동화
표준화된 피드 형식(STIX 2.1, JSON)을 통해 SIEM/SOAR와의 손쉬운 통합 및 자동화가 가능합니다.
단순한 탐지가 아닌 선제적 예방
위협이 발생하기 전에 대응할 수 있도록, 인텔리전스 데이터가 사전 예방과 위협 탐지 활동을 강화합니다.
ESET 인텔리전스가
두드러지는 이유는 무엇일까요?
750K
일일 수신 의심 샘플 건수
2.5bn.
일일 URL 분석량
500K
일일 차단되는 악성 URL
60mil.
일일 처리되는 위협 데이터
전 세계적인, 독보적인 가시성
수백만 개의 센서와 파악하기 어려운 영역에 대한 강력한 가시성을 바탕으로, ESET은 전 세계적 및 신종 사이버 위협에 대한 명확한 통찰력을 제공합니다.
정교하게 선별된 통합형 데이터 스트림
STIX/JSON 형식으로 제공되는 깨끗하고 중복 제거된 신뢰 기반 데이터 스트림은 신뢰도 점수가 부여되어 SIEM, SOAR 및 TIP 등과 원활하게 통합되며, 이를 통해 오탐을 줄이고 업무 부담을 경감합니다.
AI 기반, 전문가 검증 위협 인텔리전스
ESET은 고도화된 AI 분석 기술과 세계 최고 수준의 전문가 연구를 결합하여 단순한 데이터가 아닌, 정확하고 상황에 맞는 실질적인 위협 인텔리전스를 제공합니다.
심층 분석 및 전문 분석가 지원
독점 APT 및 사이버 범죄 보고서, 실시간 IoC 피드, AI 어드바이저 인사이트, 그리고 애널리스트와의 직접 상담을 통해 선제적인 방어와 전략적 의사결정을 지원합니다.
전 세계적인 신뢰, 검증된 전문성
ESET 위협 인텔리전스는 정부, 핵심 인프라 및 글로벌 기업이 더 많은 정보를 파악하고, 더 빠르게 탐지하며, 탄력성을 유지할 수 있도록 지원합니다.
ESET is a member of CISA, working alongside global cyber defenders to support coordinated cyber defense planning and real time threat intelligence sharing.
ESET is among the most active contributors to MITRE ATT&CK and one of the most frequently referenced sources.
ESET is certified by ECSO’s ‘Cybersecurity Made in Europe’ label, affirming trusted, sovereign protection for organizations operating in regulated environments.
ESET collaborates with ENISA through joint cybersecurity events and expert participation, including shared analysis on supply chain threats and European threat landscape insights.
“ESET이 보유한 독보적인 데이터 가시성이 CTI분야에서 ESET의 가치를 높이고 있습니다.”
방위 산업 분야 고객
위협을 이해하고,
공격자보다 한발 앞서 대응하세요
ESET의 연구와 텔레메트리 분석을 통해 국가 지원 사이버 첩보 활동부터 지역 기반 공격까지,
글로벌 APT 활동의 인프라, 전술, 공격 캠페인을 심층적으로 파악할 수 있습니다.
위협 행위
연계되지 않은 그룹
러시아 연계 그룹
파키스탄 연계 그룹
기타 동아시아 지역 그룹
이란 연계 그룹
인도 연계 그룹
중국 연계 그룹
- BackdoorDiplomacy
- Blackwood
- Bronze Silhouette
- Ceranakeeper
- CloudSorcerer
- Blackwood
- DigitalRecyclers
- Evasive Panda
- FamousSparrow
- Fishmonger
- Flax Typhoon
- Fontgoblin
- FourFunkyGorillas
- Gallium
- Gelsemium
- GopherWhisper
- Gref
- Ke3chang
- KMA VPN
- LongnosedGoblin
- Lotus Blossom
- LuckyMouse
- MirrorFace
- Mustang Panda
- Perplexedgoblin
- PlushDaemon
- RedFoxtrot
- Sinistereye
- SneakyDragon
- SparklingGoblin
- Speccom
- Startupnation
- Steppedriver
- TA428
- TheWizards
- Tick
- TrappedGoblin
- UnsolicitedBooker
- Websiic
- Webworm
- Winnti Group
- Worok
중앙아시아 연계 그룹
GOLDENJACKAL
최소 2019년 이전부터 활동한 사이버 첩보 그룹으로, 알려진 도구 세트는 정보 수집 목적의 스파이 활동에 사용됩니다. 이 그룹은 유럽, 중동, 남아시아 지역의 정부 기관 및 외교 조직을 주요 표적으로 삼고 있습니다. 비교적 잘 알려지지 않은 그룹으로, 2023년 Kaspersky에 의해 처음으로 공개적인 분석이 이루어졌습니다.
ATTOR
ESET 연구진이 발견한 러시아와 연계된 위협 행위자로, 최소 2008년부터 활동해 온 것으로 확인되었습니다. 동명의 사이버 첩보 플랫폼으로 잘 알려져 있으며, 이 플랫폼은 복잡한 플러그인 아키텍처와 Tor를 활용한 정교한 네트워크 통신 구조가 특징입니다. 이 그룹은 리투아니아, 러시아, 슬로바키아, 튀르키예, 아랍에미리트, 베트남, 우크라이나의 사용자를 침해한 바 있습니다. 특히 러시아어를 사용하는 개인정보 보호에 민감한 사용자와 유럽 내 외교 공관 및 정부 기관을 포함한 주요 조직을 집중적으로 표적으로 삼고 있습니다.
BUHTRAP
러시아 내 금융 기관과 기업을 표적으로 삼은 공격으로 잘 알려진 위협 그룹입니다. 2015년 말 이후, 금전적 이득을 목적으로 한 순수 사이버 범죄 활동에서 벗어나 동유럽 및 중앙아시아를 대상으로 한 사이버 첩보 행위자 역할로 전환했습니다. 이 그룹은 우크라이나의 특정 표적을 대상으로 Windows 제로데이 익스플로잇을 사용한 사례로 인해 러시아와 연계된 그룹으로 평가되고 있습니다.
CALLISTO
COLDRIVER, SEABORGIUM, Star Blizzard, Blue Callisto, BlueCharlie 등 다양한 이름으로 알려진 사이버 첩보 그룹으로, 최소 2015년부터 활동해 왔습니다. 유럽과 북미 지역의 정부 관계자, 싱크탱크, 군 관계자를 주요 표적으로 삼고 있으며, 스피어피싱과 웹메일 자격 증명 탈취에 주력합니다. 2022년 초에는 우크라이나 정부 관계자와 국영 기업 종사자를 대상으로 웹메일 자격 증명 탈취를 시도했으며, 탈취된 계정은 기밀 이메일 열람이나 클라우드 저장소 문서 탈취에 사용된 것으로 추정됩니다. 이러한 활동은 러시아-우크라이나 전쟁과 관련된 사이버 첩보 작전의 일환으로 평가됩니다. 2023년에는 영국 정부가 Callisto 소속 인원 2명을 제재했으며, 이 그룹이 러시아 FSB 산하 제18정보보호센터와 연계되어 있다고 발표했습니다.
GAMAREDON
최소 2013년부터 활동해 온 위협 그룹으로, 주로 우크라이나 정부 기관을 대상으로 한 다수의 공격을 수행해 왔습니다. CERT-UA 및 우크라이나 공식 기관의 여러 보고서에서 활동이 확인되었습니다. 우크라이나 보안국(SBU)은 이 그룹을 크림반도 점령 지역에서 활동하는 러시아 FSB 제18정보보호센터와 연계된 조직으로 보고 있습니다. ESET는 Gamaredon이 InvisiMole과 협력하고 있으며, 2025년 초부터는 Turla와의 협업 사례도 문서화했습니다.
GREENCUBE
러시아와 연계된 사이버 첩보 그룹으로, 최소 2022년부터 활동해 왔습니다. 자격 증명 탈취를 목적으로 한 스피어피싱 캠페인과 Roundcube의 XSS 취약점을 악용한 이메일 탈취 공격에 특화되어 있습니다. 주요 표적은 그리스, 폴란드, 세르비아, 우크라이나의 정부 기관 및 국방 관련 조직입니다.
INVISIMOLE
러시아와 연계된 위협 그룹으로, 최소 2013년부터 활동해 왔습니다. 정부 기관, 군 조직, 외교 공관을 대상으로 한 고도로 표적화된 사이버 첩보 공격으로 알려져 있습니다. 활동의 대부분은 우크라이나에 집중되어 있으며, 2021년 이후 활동이 크게 증가했습니다. 또한 아르메니아, 벨라루스, 그리스, 러시아의 일부 조직도 공격한 사례가 확인되었습니다. ESET는 이 그룹이 FSB와 연계된 Gamaredon과 협력하고 있는 것으로 판단하고 있습니다.
OPERATION TEXONTO
우크라이나인과 러시아 내 반체제 인사를 대상으로 한 허위 정보 및 심리전(PSYOPS) 캠페인입니다. 또한 2023년에는 우크라이나 방산 기업과 EU 기관을 표적으로 Microsoft Office 365 계정 자격 증명을 탈취하기 위한 스피어피싱 캠페인이 탐지되었습니다. Operation Texonto는 특정 위협 행위자에게 공식적으로 귀속되지는 않았으나, 사용된 전술·기법·절차(TTP), 표적 선정, 메시지 확산 양상 등을 종합할 때 러시아의 이해관계와 연계된 그룹이 수행했을 가능성이 매우 높은 것으로 평가됩니다.
ROMCOM
Storm-0978, Tropical Scorpius, UNC2596 등으로도 알려진 러시아 연계 위협 그룹입니다. 특정 산업군을 대상으로 한 기회주의적 사이버 범죄 활동과 표적형 첩보 작전을 병행하며 정보를 수집합니다. 최소 2022년부터 이른바 ‘Cuba’ 랜섬웨어 배포와 연계된 활동이 확인되었습니다. 최근에는 우크라이나 정부 및 국방 부문, NATO 동맹국, 유럽 내 다수의 정부 기관을 대상으로 공격을 수행하고 있습니다.
SAINTBEAR
UAC-0056, UNC2589, EmberBear, LorecBear, Lorec53, TA471 등으로도 알려진 사이버 첩보 그룹입니다. 최소 2021년부터 활동해 왔으며, 우크라이나와 조지아를 주요 표적으로 삼고 있습니다. 러시아와 연계된 그룹으로 평가되며, 특히 우크라이나 정부 내 고위급 표적에 높은 관심을 보입니다. 감염된 시스템에 정보 탈취 도구와 백도어를 배포하며, 2022년에는 Cobalt Strike 사용이 관찰되었습니다. 2022년 발생한 WhisperGate 공격의 배후로 높은 신뢰 수준에서 평가되고 있습니다.
SANDWORM
다양한 파괴적 공격을 수행하는 러시아 연계 위협 그룹으로, 일반적으로 러시아 정보총국(GRU) 산하 74455부대로 귀속됩니다. 2015년과 2016년에 우크라이나 에너지 부문을 공격해 대규모 정전을 초래한 사건으로 널리 알려져 있습니다. ESET는 이 그룹을 여러 하위 그룹으로 추적하고 있으며, TeleBots는 우크라이나 금융 기관 공격에 집중하고, GreyEnergy는 폴란드·우크라이나·조지아의 핵심 인프라를 대상으로 악성코드를 활용한 공격으로 유명합니다. 2018년에는 평창 동계올림픽 조직위원회를 겨냥한 Olympic Destroyer 데이터 와이퍼 공격을 수행했습니다. 또한 산업 제어 프로토콜을 통해 에너지 설비와 통신할 수 있는 Industroyer와 같은 고도화된 악성코드를 사용합니다. 2020년 미국 법무부는 이 그룹의 공격 활동과 관련해 러시아 해커 6명에 대한 기소를 발표했습니다.
SEDNIT
APT28, Fancy Bear, Forest Blizzard, Sofacy 등으로도 알려진 사이버 첩보 그룹으로, 최소 2004년부터 활동해 왔습니다. 미국 법무부는 2016년 미국 대선을 앞두고 발생한 민주당 전국위원회(DNC) 해킹 사건의 책임 그룹 중 하나로 Sednit을 지목하며 GRU와의 연관성을 밝혔습니다. 이 외에도 TV5Monde 해킹, 세계반도핑기구(WADA) 이메일 유출 사건 등 다수의 국제적 사건과 연계되어 있습니다. 다양한 악성코드 도구를 보유하고 있지만, 최근에는 주로 표적형 피싱 캠페인에 집중하고 있으며, 여전히 맞춤형 고급 인플란트를 배포하는 사례가 관찰되고 있습니다.
THE DUKES
APT29, Cozy Bear, Nobelium으로도 알려진 악명 높은 사이버 첩보 그룹으로, 최소 2008년부터 활동해 왔습니다. 영국 국가사이버보안센터(NCSC)에 따르면 러시아 대외정보국(SVR)과 연계된 것으로 알려져 있습니다. 2016년 미국 대선을 앞두고 민주당 전국위원회 해킹에 관여했으며, 2019년에는 ESET가 여러 유럽 외무부를 겨냥한 대규모 첩보 작전을 공개했습니다. 또한 2020년 SolarWinds 공급망 공격의 배후로 알려져 있으며, 2021년에는 유럽 외교관을 대상으로 한 다수의 스피어피싱 캠페인을 수행했습니다.
TURLA
Snake라는 이름으로도 알려진 사이버 첩보 그룹으로, 최소 2004년부터 활동해 왔으며, 1990년대 후반부터 활동했을 가능성도 제기됩니다. 러시아 연방보안국(FSB)의 일부로 추정되며, 유럽, 중앙아시아, 중동 지역의 정부 및 외교 기관과 같은 고위급 표적을 주로 공격합니다. 2008년 미국 국방부, 2014년 스위스 방산 기업 RUAG 침해 사건 등 주요 조직을 공격한 이력이 있습니다.
UAC-0099
우크라이나의 정부 기관, 금융 기관, 언론 기관을 표적으로 하는 사이버 첩보 그룹으로, 최소 2022년부터 활동해 왔습니다. 표적 특성을 고려할 때, 중간 수준의 신뢰도로 러시아의 이해관계와 연계된 그룹으로 평가됩니다. 이 그룹은 일반적으로 C&C 링크에 page라는 단어가 포함된 PowerShell 기반 다운로더인 LONEPAGE를 사용해 악성코드를 배포합니다.
VERMIN
UAC-0020으로도 알려진 러시아 연계 위협 그룹으로, 최소 2015년부터 우크라이나 정부 및 군사 표적을 대상으로 사이버 첩보 공격을 수행해 왔습니다. 이 그룹은 이른바 루한스크 인민공화국과 연관되어 있는 것으로 평가됩니다.
ZEBROCY
UAC-0063 또는 TAG-110으로도 알려진 러시아 연계 위협 그룹으로, 최소 2015년부터 중앙아시아와 우크라이나 지역의 정부, 군, 외교 관련 기관을 대상으로 사이버 첩보 공격을 수행해 왔습니다. Zebrocy 악성코드 툴킷은 키로깅, 스크린샷 캡처, 정찰, 파일 목록화 및 유출 등 첩보 활동에 필요한 기능을 모두 갖추고 있으며, 모듈형 구조로 설계되어 운영자가 새로운 모듈을 손쉽게 배포할 수 있습니다.
TRANSPARENT TRIBE
Operation C-Major, Mythic Leopard, ProjectM, APT36, Earth Karkaddan으로도 알려진 사이버 첩보 그룹입니다. 인도 육군 및 관련 자산을 주요 표적으로 삼고 있으며, 파키스탄 내 활동가와 시민 사회 인사도 공격 대상으로 포함됩니다. 일부 보안 업체는 파키스탄과의 연관성을 제기했으며, 소셜 엔지니어링과 피싱을 활용해 악성코드를 배포합니다. 과거에는 Windows 환경을 중심으로 CrimsonRAT 백도어를 주로 사용했으며, Android용 AndroRAT도 제한적으로 활용했습니다.
ARID VIPER
APT-C-23, Desert Falcons, Two-tailed Scorpion으로도 알려진 사이버 첩보 그룹으로, 최소 2013년부터 중동 지역을 대상으로 활동해 왔습니다. 주된 표적은 팔레스타인과 이스라엘의 법 집행 기관, 군, 정부 조직이며, 활동가와 학생도 포함됩니다. Android, iOS, Windows를 아우르는 방대한 악성코드 도구 세트를 보유하고 있으며, 여러 맞춤형 백도어를 사용합니다. 이 그룹은 가자 지구를 거점으로 활동하며 하마스와 연계된 것으로 평가됩니다.
BAHAMUT
사이버 첩보 활동에 특화된 APT 그룹으로, 민감한 정보 탈취를 주요 목표로 합니다. 해킹 대행 서비스를 제공하는 용병형 그룹으로도 알려져 있으며, 다양한 고객을 대신해 공격을 수행하는 것으로 평가됩니다. 주로 중동과 남아시아 지역의 조직과 개인을 대상으로 스피어피싱 메시지와 악성 애플리케이션을 초기 침투 수단으로 활용합니다.
BIBIGUN
하마스의 지원을 받는 해크티비스트 그룹으로, 2023년 이스라엘-하마스 전쟁 기간 중 처음 등장했습니다. 이 그룹은 Windows와 Linux 바이너리를 모두 활용해 이스라엘을 표적으로 한 와이퍼 공격을 수행한 것으로 알려져 있습니다. 2023년 Security Joes가 최초의 와이퍼를 발견했고, 같은 해 ESET가 또 다른 와이퍼를 발견해 공개적으로 보고했습니다.
BLADEHAWK
2020년에 발견된 중동 지역 기반의 사이버 첩보 그룹입니다. 과거에는 이라크 북부의 쿠르드족을 주요 표적으로 삼았으며, Windows와 Android 악성코드를 모두 활용해 공격을 수행했습니다. 2021년 ESET는 친쿠르드 콘텐츠를 악용해 Android 백도어를 배포한 이 그룹의 첩보 캠페인을 공개한 바 있습니다.
POLONIUM
2022년에 처음 문서화된 사이버 첩보 그룹으로, 레바논을 기반으로 활동하는 것으로 평가되며 이스라엘 조직을 주요 표적으로 삼고 있습니다. OneDrive와 Dropbox 같은 클라우드 서비스를 C&C 통신에 악용하는 백도어를 포함해 총 7개의 맞춤형 백도어를 사용합니다. 또한 여러 맞춤형 모듈을 활용해 표적에 대한 정보 수집 활동을 수행합니다.
STEALTH FALCON
아랍에미리트와 연계된 것으로 알려진 위협 그룹으로, 최소 2012년부터 활동해 왔습니다. 중동 지역의 정치 활동가, 언론인, 반체제 인사를 주요 표적으로 삼고 있으며, 2016년 Citizen Lab이 공개한 스파이웨어 분석을 통해 처음 알려졌습니다. 2019년 Amnesty International는 Stealth Falcon과 전직 NSA 요원이 관여한 것으로 알려진 Project Raven이 동일 그룹이라고 결론지었습니다.
STRONGPITY
PROMETHIUM 또는 APT-C-41로도 알려진 사이버 첩보 그룹으로, 최소 2012년부터 활동해 왔습니다. 주로 튀르키예에 위치한 조직을 표적으로 삼았으나, 전 세계적으로 공격 활동을 수행한 이력도 있습니다. 초기에는 Windows 악성코드를 중심으로 활동했으며, 2022년 말에는 변조된 Android 앱을 유포한 캠페인도 이 그룹에 귀속되었습니다.
ASYLUM AMBUSCADE
주요 활동은 사이버 범죄이지만 첩보 활동도 병행해 온 그룹으로, 2022년 3월 러시아-우크라이나 전쟁 초기 유럽 내 우크라이나 난민 지원에 관여한 정부 직원들을 공격한 사실이 공개되며 알려졌습니다.
CLOUD ATLAS
Inception Framework로도 알려진 사이버 첩보 그룹으로, 최소 2014년부터 활동해 왔습니다. Chronicle 보안 블로그에 따르면 과거 Red October에서 분화된 그룹으로 추정됩니다. 러시아, 유럽, 코카서스 지역의 정부 기관과 방산 등 전략 산업 분야 기업을 주요 표적으로 삼고 있습니다.
FROSTY NEIGHBOR
UNC1151, DEV-0257 등으로도 알려진 위협 그룹으로, 최소 2016년부터 활동해 온 것으로 추정됩니다. 벨라루스를 거점으로 활동하는 것으로 알려져 있으며, 주로 벨라루스 인접 국가들을 대상으로 영향력 행사와 허위 정보 캠페인을 수행했습니다. 이와 함께 정부 및 민간 조직에 대한 침해 활동도 수행했으며, 특히 우크라이나, 폴란드, 리투아니아를 집중적으로 겨냥했습니다.
MOUSTACHED BOUNCER
ESET가 최초로 공개한 사이버 첩보 그룹으로, 최소 2014년부터 활동해 왔습니다. 주된 표적은 벨라루스 내 외국 대사관이며, 2020년 이후에는 ISP 수준에서의 중간자 공격을 수행해 표적을 감염시킬 수 있었던 것으로 평가됩니다.
WINTER VIVERN
2021년에 처음 발견된 사이버 첩보 그룹으로, 최소 2020년부터 활동한 것으로 추정됩니다. 유럽 및 중앙아시아 지역의 정부 기관을 표적으로 삼았으며, 악성 문서, 피싱 웹사이트, 맞춤형 PowerShell 백도어를 사용합니다. 2022년 이후에는 Zimbra와 Roundcube 이메일 서버를 집중적으로 공격했으며, 2023년에는 Roundcube의 오래된 XSS 취약점을 악용한 공격이 관찰되었습니다.
XDSPY
최소 2011년부터 활동해 온 사이버 첩보 그룹으로, 동유럽과 발칸 지역(러시아 포함)의 군 조직, 외교부, 국영 기업 등 정부 관련 기관을 주요 표적으로 삼고 있습니다. 이 그룹은 스피어피싱 이메일을 주요 침투 수단으로 사용하며, 2020년에는 공개된 정보가 극히 제한적이었던 Internet Explorer 취약점을 악용한 사례도 확인되었습니다. 해당 익스플로잇은 브로커로부터 구매했을 가능성이 높은 것으로 평가됩니다.
APT-C-60
False Hunter 또는 APT-Q-12로도 알려진 한국 연계 사이버 첩보 그룹으로, 최소 2018년부터 활동해 왔습니다. 정부 기관, 무역 산업, 싱크탱크 등 고위급 표적을 주로 공격하며, 흥미로운 국제 이슈를 활용하거나 연구 주제에 대한 의견을 묻는 학생으로 가장해 피해자를 유인합니다. 스피어피싱 이메일을 통해 다단계 다운로더와 모듈형 백도어를 배포하는 것이 특징입니다.
ANDARIEL
북한과 연계된 Lazarus 그룹의 하위 그룹으로 평가되며, 2009년부터 활동해 온 이력이 있습니다. 한국의 정부 및 군사 기관뿐 아니라 은행, 암호화폐 거래소, 온라인 금융 중개업체 등 민간 부문도 주요 표적에 포함됩니다. 사이버 첩보와 금전적 이득을 모두 목적으로 하며, 2015년 서울 국제 항공우주 및 방위산업 전시회(ADEX)와 2019년 인도 쿠단쿨람 원자력 발전소 공격으로 알려져 있습니다.
DECEPTIVE DEVELOPMENT
2023년에 처음 문서화된 북한 연계 위협 그룹으로, 주로 금전적 이득을 목적으로 활동합니다. Windows, Linux, macOS 기반 소프트웨어 개발자를 표적으로 삼아 암호화폐를 탈취하며, 일부 작전에서는 사이버 첩보 목적도 병행하는 것으로 보입니다. 소셜 미디어에서 가짜 채용 담당자 계정을 이용해 접근한 뒤, 가짜 채용 과정을 통해 백도어가 포함된 변조 코드베이스를 전달하는 것이 특징입니다.
KIMSUCKY
북한과 연계된 사이버 첩보 그룹으로, 최소 2013년부터 활동해 왔습니다. 초기에는 한국 관련 조직을 주로 공격했으나, 최근 수년간 미국과 유럽으로 활동 범위를 확대했습니다. 정부 기관, 연구소, 암호화폐 기업, 민간 기업을 표적으로 하며, 핵심 목적은 사이버 첩보 및 정보 수집입니다.
KONNI
북한과 연계된 위협 행위자 그룹으로, 2017년 분석가들에 의해 처음 보고되었습니다. 러시아와 한국의 정치 기관을 주요 표적으로 삼으며, 스피어피싱 공격을 통해 초기 침투에 성공한 뒤 자체 원격 관리 도구(RAT)를 활용해 지속적인 접근 권한을 유지합니다. 일부 보안 연구자들은 Konni를 Lazarus 또는 Kimsuky 계열로 분류하지만, ESET는 이를 확인할 충분한 근거를 확보하지 못해 별도 그룹으로 추적하고 있습니다.
LAZARUS
HIDDEN COBRA로도 알려진 북한 연계 APT 그룹으로, 최소 2009년부터 활동해 왔습니다. 2014년 Sony Pictures Entertainment 해킹, 2016년 수천만 달러 규모의 사이버 금융 탈취, 2017년 WannaCry 랜섬웨어 사태 등 다수의 대형 사건의 배후로 알려져 있습니다. 사이버 첩보, 사이버 파괴, 금전적 이득 추구라는 세 가지 범주의 활동을 모두 수행하는 것이 이 그룹의 특징입니다.
OPERATION IN(TER)CEPTION
ESET가 명명한 일련의 공격 작전으로, 최소 2019년부터 항공우주, 군수, 방위 산업 관련 기업을 표적으로 지속적으로 수행되고 있습니다. LinkedIn 기반 스피어피싱을 활용하며, 은밀하게 활동을 유지하기 위한 다양한 위장 기법을 사용합니다. 작전명에서 암시하듯, 주요 목적은 기업 첩보 활동으로 평가됩니다.
SCARCRUFT
APT37 또는 Reaper로도 알려진 북한 연계 첩보 그룹으로, 최소 2012년부터 활동해 왔습니다. 한국을 주요 표적으로 삼았으나, 다른 아시아 국가들도 공격 대상에 포함됩니다. 정부 및 군 조직과 북한 이해관계와 연관된 산업 분야 기업에 관심을 보이며, 다양한 다운로더, 정보 유출 도구, 백도어를 활용합니다.
AGRIUS
이란과 연계된 것으로 의심되는 사이버 파괴 그룹으로, 2020년부터 활동이 확인되었습니다. 이스라엘과 아랍에미리트의 조직을 주요 표적으로 삼았으며, 초기에는 랜섬웨어로 위장한 와이퍼를 사용하다가 이후 실제 랜섬웨어로 전환했습니다. 인터넷에 노출된 애플리케이션의 알려진 취약점을 악용해 웹셸을 설치하고 내부 정찰 및 측면 이동을 수행합니다.
BALLISTIC BOBCAT
이전에는 APT35와 APT42(Charming Kitten, TA453, PHOSPHORUS)로 추적되던 이란 연계 국가 주도 위협 그룹입니다. 교육, 정부, 헬스케어 조직은 물론 인권 활동가와 언론인을 주요 표적으로 삼고 있으며, 이스라엘, 중동, 미국에서 활발히 활동해 왔습니다. 코로나19 팬데믹 기간에는 WHO와 Gilead Pharmaceuticals 등 코로나19 관련 조직도 공격 대상으로 삼았습니다.
BLADEDFELINE
이란과 연계된 사이버 첩보 그룹으로, 최소 2017년부터 활동해 온 것으로 평가됩니다. 2023년 처음 공개되었으며, 쿠르드 지역 외교 당국자를 대상으로 한 백도어 공격이 보고되었습니다. 2024년에는 이라크 정부 기관과 우즈베키스탄의 통신 사업자까지 표적을 확대했습니다. ESET는 이 그룹을 OilRig(APT34)의 하위 그룹으로 높은 신뢰도로 평가하고 있습니다.
CYBERTOUFAN
이스라엘 조직을 대상으로 한 사이버 공격으로 알려진 위협 그룹으로, 튀르키예를 거점으로 활동하면서 이란 정부의 전략적 목표와 부합하는 공격을 수행하는 것으로 평가됩니다. 이 그룹은 데이터 유출과 파괴를 포함한 해킹 및 공개(hack-and-leak) 작전에 관여해 왔으며, 팔레스타인 지역 이익과 연계된 Frankenstein 그룹과의 관계도 언급되고 있습니다.
DOMESTIC KITTEN
APT-C-50 그룹이 수행한 캠페인 명칭으로, 2016년부터 이란 시민을 대상으로 모바일 감시 활동을 수행해 왔습니다. 2018년 Check Point, 2019년 Trend Micro, 2020년 360 Core Security 등이 관련 활동을 보고한 바 있으며, 중동 지역 반정부 단체를 감시하는 데 집중해 왔습니다.
FRESHFELINE
MosesStaff로도 알려진 이란 연계 사이버 첩보 그룹으로, 2021년부터 활동이 확인되었습니다. 이스라엘을 포함해 유럽, 중동, 미주 지역의 다양한 산업군을 표적으로 삼았습니다. 인터넷에 노출된 Microsoft Exchange 서버의 알려진 취약점을 악용해 침투한 뒤 자체 백도어를 배포하며, 일부 작전에서는 랜섬웨어도 사용했습니다.
GALAXY GATO
C5, Smoke Sandstorm, TA455, UNC1549 등으로도 알려진 이란 정부 이해관계와 연계된 사이버 첩보 그룹입니다. 최소 2022년부터 활동했으며, 중동(이스라엘, 오만, 사우디아라비아 등)과 미국의 항공우주, 항공, 방위 산업 조직을 주요 표적으로 삼고 있습니다. 타이포스쿼팅 도메인을 활용한 피싱과 맞춤형 백도어 배포가 특징입니다.
LYCEUM
HEXANE 또는 Storm-0133으로도 알려진 OilRig의 하위 그룹으로, 최소 2017년부터 활동해 왔습니다. 중동 지역을 중심으로 이스라엘의 정부 및 의료 기관을 집중적으로 공격했으며, 합법적인 클라우드 서비스를 C&C 통신에 활용하는 백도어와 다운로더를 사용합니다.
MUDDYWATER
이란 정보보안부(MOIS)와 연계된 사이버 첩보 그룹으로, 최소 2017년부터 활동해 왔습니다. 중동과 북미 지역의 통신, 정부, 에너지 산업을 주요 표적으로 삼고 있으며, PowerShell 기반 백도어와 PDF 첨부 스피어피싱을 활용한 초기 침투가 특징입니다.
OILRIG
APT34 또는 Hazel Sandstorm으로도 알려진 이란 기반 사이버 첩보 그룹으로, 최소 2014년부터 활동해 왔습니다. 중동 지역 정부와 에너지·화학·금융·통신 산업을 표적으로 삼아 왔으며, DNSpionage, HardPass 등 다수의 장기 공격 캠페인을 수행했습니다. ESET는 Lyceum, BladedFeline 등의 하위 그룹도 함께 추적하고 있습니다.
SHROUDED SNOOPER
Scarred Manticore 또는 Storm-0861로도 알려진 OilRig 하위 그룹으로, 최소 2019년부터 활동해 왔습니다. 2021~2022년 알바니아 정부를 겨냥한 파괴적 공격에서 초기 접근을 담당한 것으로 알려졌으며, 이후 중동 지역의 정부·군·통신 조직을 계속해서 공격했습니다.
TORTOISESHELL
Crimson Sandstorm, Imperial Kitten, TA456, Yellow Liderc로도 알려진 사이버 첩보 그룹으로, 최소 2019년부터 활동해 왔습니다. 소셜 엔지니어링과 피싱 이메일을 주요 침투 수단으로 사용하며, Microsoft Office 매크로와 초기 단계 인플란트에 크게 의존해 시스템 및 네트워크 정찰을 수행합니다. 미국, 유럽, 중동 지역의 해운, 물류, 해상 산업 조직을 주요 표적으로 삼고 있습니다.
WILDPRESSURE
중동 지역의 석유, 가스, 엔지니어링 산업을 표적으로 하는 사이버 첩보 그룹으로, 최소 2019년부터 활동해 온 것으로 확인되었습니다. 최초의 백도어가 발견된 이후, 2021년에는 추가 도구를 배포하는 활동이 관찰되었습니다.
DONOT TEAM
APT-C-35 또는 SectorE02로도 알려진 인도 연계 위협 행위자로, 최소 2016년부터 활동해 왔습니다. 2021년 Amnesty International 보고서는 이 그룹의 악성코드를 인도의 한 사이버 보안 기업과 연계 지으며, 정부 대상 해킹 대행 서비스 가능성을 제기했습니다. 주로 남아시아 지역을 대상으로 Windows 및 Android 악성코드를 사용한 첩보 활동을 수행하며, 파키스탄, 방글라데시, 스리랑카, 네팔, 중국의 조직과 개인이 주요 피해 대상입니다.
BACKDOOR DIPLOMACY
ESET가 명명한 APT15 하위 그룹으로, 아프리카와 중동 지역의 정부 기관과 통신사를 주요 표적으로 삼고 있습니다. 최소 2017년부터 활동해 왔으며, 2022년과 2023년에는 각각 Bitdefender와 Unit 42가 이 그룹의 통신 업계 및 이란 정부 네트워크 침해 사례를 공개했습니다. ESET는 이 그룹이 Mirage, Ke3chang, DigitalRecyclers 등 다른 APT15 하위 그룹과 연관되어 있다고 보고 있습니다.
BLACKWOOD
중국과 연계된 APT 그룹으로, 최소 2018년부터 활동해 왔습니다. 중국과 일본의 개인 및 기업을 표적으로 한 사이버 첩보 작전을 수행하며, 합법적인 소프트웨어 업데이트를 악용한 중간자 공격을 통해 악성페이로드를 전달할 수 있는 역량을 보유하고 있습니다. C&C 서버의 실제 위치를 은폐하기 위해 트래픽을 가로채는 기법도 사용합니다.
BRONZE SILHOUETTE
Volt Typhoon 또는 Vanguard Panda로도 알려진 중국 연계 사이버 첩보 그룹으로, 최소 2022년부터 활동해 왔습니다. 주로 미국의 국방 산업과 핵심 인프라 조직을 표적으로 삼으며, 2023년 괌 지역의 중요 인프라 공격 사례를 통해 처음 대중적으로 알려졌습니다.
CERANA KEEPER
2022년 초부터 활동이 확인된 중국 연계 사이버 첩보 그룹으로, 동남아시아 지역의 정부 기관을 주요 표적으로 삼습니다. TONEINS, TONESHELL, PUBLOAD 등의 구성 요소와 공개 도구를 활용하며, 클라우드 및 파일 공유 서비스를 통한 데이터 유출 기법이 특징입니다. 일부 활동은 Mustang Panda와 연관된 것으로 보고되었으나, ESET는 이를 별도의 그룹으로 추적하고 있습니다.
CLOUDSORCERER
2024년에 처음 공개된 위협 행위자로, ESET 텔레메트리에서는 2022년 초부터 활동 흔적이 확인되었습니다. 러시아의 정부 기관과 기술 기업, 미국의 싱크탱크를 대상으로 사이버 첩보 작전을 수행합니다. 아카이브 첨부 스피어피싱 이메일을 활용하며, 사이드로딩 기법을 통해 백도어를 배포하고 이후 Yandex, OneDrive, Dropbox 같은 클라우드 서비스를 C&C 채널로 악용합니다.
DIGITAL RECYCLERS
ESET가 발견한 위협 행위자로, 최소 2018년부터 유럽 지역의 정부 기관을 대상으로 지속적인 첩보 활동을 수행해 왔습니다. Ke3chang 및 BackdoorDiplomacy와의 연관성이 일부 제기되었으나, 이에 대한 신뢰도는 낮은 수준으로 평가됩니다.
EVASIVE PANDA
BRONZE HIGHLAND, Daggerfly, StormBamboo로도 알려진 중국 연계 APT 그룹으로, 최소 2012년부터 활동해 왔습니다. 티베트 독립 운동, 대만과 홍콩의 종교·학술 기관, 중국 내 민주화 지지자를 표적으로 하는 사이버 첩보가 주요 목적입니다. 공급망 공격, 워터링홀 공격, DNS 하이재킹 등 다양한 공격 기법을 활용하며, Windows, macOS, Android용 다중 플랫폼 백도어 개발 역량을 보유하고 있습니다.
FAMOUSSPARROW
중국 연계 사이버 첩보 그룹으로, 최소 2019년부터 활동한 것으로 평가됩니다. 초기에는 전 세계 호텔 산업을 집중적으로 표적으로 삼았으나, 이후 정부 기관, 국제 기구, 무역 단체, 엔지니어링 기업, 로펌 등으로 공격 범위를 확장했습니다. SparrowDoor 백도어를 사용하는 것으로 알려진 유일한 그룹이며, Earth Estries 및 Salt Typhoon과의 연관성이 제기된 바 있으나 ESET는 기술적 증거 부족으로 별도의 위협 행위자로 추적하고 있습니다.
FISHMONGER
Earth Lusca, TAG-22, Aquatic Panda, Red Dev 10으로도 알려진 사이버 첩보 그룹으로, 중국 보안 서비스 제공업체 I-SOON이 운영하며 Winnti 그룹 계열로 분류됩니다. 2020년 ESET가 처음 분석을 공개했으며, 홍콩 시민 시위 기간 동안 대학을 집중적으로 공격했습니다. 이후 아시아, 유럽, 미국 전역의 정부 기관, NGO, 싱크탱크를 대상으로 한 글로벌 첩보 캠페인을 수행했으며, 워터링홀 공격도 활용합니다.
FLAX TYPHOON
ETHEREAL PANDA로도 알려진 중국 연계 APT 그룹으로, 최소 2021년부터 활동해 왔습니다. 주로 대만의 조직을 표적으로 삼으며, China Chopper 웹셸, Juicy Potato 권한 상승 도구와 그 변형, Mimikatz를 사용합니다. 탐지를 회피하기 위해 LOLBins(living-off-the-land binaries)를 광범위하게 활용하는 것이 특징입니다.
FONTGOBLIN
중국 연계 APT 그룹으로, 최소 2022년부터 C:/Windows/Fonts 디렉터리에 위조 폰트 파일을 은닉 페이로드로 사용하는 독특한 전술을 지속적으로 활용해 왔습니다. 키르기스스탄, 우즈베키스탄, 카자흐스탄, 파키스탄의 정부 기관을 주요 표적으로 삼고 있습니다.
FONTFUNKYGORILLAS
중국 연계 APT 그룹으로, 동유럽과 중앙아시아의 다양한 산업군을 공격 대상으로 삼고 있습니다. StartupNation 그룹이 개발한 Zmm 백도어와 Trochilus RAT를 사용하며, 해당 개발 조직은 SixLittleMonkeys 등 다른 APT 그룹에도 도구를 제공하는 것으로 알려져 있습니다.
GALLIUM
Soft Cell, Alloy Taurus, Red Moros 등으로도 알려진 중국 연계 APT 그룹으로, 전 세계 통신사와 정부 기관을 주요 표적으로 삼아 왔습니다. 맞춤형 C++ 백도어, China Chopper 기반 IIS 웹셸, Mimikatz 계열 자격 증명 탈취 도구와 상용 해킹 도구를 함께 사용합니다.
GELSEMIUM
중국 연계 사이버 첩보 그룹으로, 최소 2014년부터 활동해 왔습니다. 2014년 G DATA가 Operation TooHash 캠페인을 공개했으며, 이후 2016년 HITCON에서 동일한 공격 인프라와 기법이 계속 사용되고 있음이 확인되었습니다. 도난된 인증서로 서명된 악성코드를 사용한 사례도 보고되었습니다.
GOPHERWHISPER
중국 연계 사이버 첩보 그룹으로, 최소 2023년부터 활동이 확인되었습니다. Discord, Slack, file.io 등 합법적인 온라인 서비스를 C&C 통신과 데이터 유출에 활용합니다. 2025년 기준 ESET 텔레메트리에서는 몽골 정부 기관을 주요 표적으로 삼은 활동이 관찰되었습니다.
GREF
최소 2009년부터 활동해 온 중국 연계 사이버 첩보 그룹으로, 코드 내 Google 참조를 다량 사용한 점에서 이름이 유래되었습니다. 드라이브바이 공격에 특화되어 있으며, Windows, macOS, Android용 악성코드를 모두 보유하고 있습니다. 일부에서는 APT15와의 연관성을 주장하지만, ESET는 충분한 증거가 없어 별도로 추적하고 있습니다.
KE3CHANG
APT15의 하위 그룹으로, 유럽과 중남미 지역의 정부 기관과 외교 공관을 주요 표적으로 삼고 있습니다. 2013년 Mandiant 보고서의 Operation Ke3chang에서 이름이 유래되었으며, 2016~2021년 사이 보고된 APT15 활동을 포괄합니다. 제한적인 기능의 초기 단계 백도어만 배포하고, 이후 공격자는 합법적인 시스템 도구를 활용해 수동으로 명령을 수행하는 것이 특징입니다.
KMA-VPN
전 세계의 가상 사설 서버(VPS)에 분산 배치된 ORB(Operational Relay Box) 네트워크로, 최소 2023년부터 활동이 확인되었습니다. DigitalRecyclers와 BackdoorDiplomacy를 포함한 여러 중국 연계 위협 행위자가 이 은닉 네트워크를 사용해 네트워크 트래픽을 익명화하고 실제 공격 원점을 은폐하는 데 활용하고 있습니다.
LONGNOSEDGOBLIN
2024년 ESET에 의해 발견된 중국 연계 APT 그룹으로, 말레이시아의 정부 기관을 표적으로 한 사이버 첩보 활동을 수행했습니다. 이 그룹은 피해자의 브라우저 방문 기록을 수집한 뒤, Microsoft OneDrive 클라우드 서비스를 활용하는 백도어를 선택적으로 배포합니다. 또한 Active Directory의 그룹 정책을 악용해 악성코드를 배포하고 내부 측면 이동을 수행한 사례도 확인되었습니다.
LOTUS BLOSSOM
Lotus Panda 또는 Billbug로도 알려진 중국 연계 APT 그룹으로, 2015년에 처음 공개되었습니다. 동남아시아 지역의 정부 기관과 해양 관련 조직을 주요 표적으로 삼고 있으며, Elsentric 백도어를 비롯해 Impacket, Venom 프록시 등 다양한 도구를 활용합니다.
LUCKYMOUSE
APT27 또는 Emissary Panda로도 알려진 사이버 첩보 그룹으로, 정부 기관, 통신사, 국제 기구를 주요 표적으로 삼고 있습니다. 중앙아시아, 중동, 몽골, 홍콩, 북미 지역에서 활동이 관찰되었으며, DLL 사이드로딩 기법을 활용한 백도어 로딩이 특징적인 공격 방식입니다.
MIRRORFACE
Earth Kasha로도 알려진 중국 연계 위협 행위자로, 최소 2019년부터 활동해 왔습니다. 주로 일본의 기업과 조직을 표적으로 삼지만, 일본과 연계된 해외 조직도 공격 대상에 포함됩니다. 미디어, 국방 산업, 싱크탱크, 외교 기관, 금융 및 학술 기관을 대상으로 한 첩보 활동이 보고되었습니다.
MUSTANG PANDA
TA416, RedDelta, PKPLUG, Earth Preta, Stately Taurus 등으로도 알려진 중국 기반 사이버 첩보 그룹입니다. 정부 기관과 NGO를 주요 표적으로 삼으며, 몽골을 포함한 동아시아 및 동남아시아 지역에서 활발히 활동하고 있습니다. 자체 로더를 사용해 맞춤형 악성코드를 배포하는 것이 특징입니다.
PERPLEXED GOBLIN
APT31로도 알려진 중국 연계 사이버 첩보 그룹으로, 유럽 지역의 정부 기관을 주요 표적으로 삼고 있습니다. DLL 사이드로딩이나 BYOVS(bring-your-own-vulnerable-software) 체인을 포함한 다양한 방식으로 맞춤형 인플란트를 배포하며, 아직 공개되지 않은 고급 도구도 다수 보유한 것으로 평가됩니다.
PLUSHDAEMON
최소 2018년부터 활동해 온 중국 연계 위협 행위자로, 중국, 대만, 홍콩, 한국, 미국, 뉴질랜드의 개인 및 조직을 대상으로 첩보 활동을 수행했습니다. 합법적인 소프트웨어 업데이트를 가로채 초기 접근을 확보하는 기법과 웹 서버 취약점을 악용한 침투 방식을 병행하며, 2023년에는 공급망 공격을 수행한 사례도 확인되었습니다.
RED FOXTROT
최소 2014년부터 활동한 APT 그룹으로, 중앙아시아, 인도, 파키스탄 지역의 정부, 국방, 통신 산업을 주요 표적으로 삼고 있습니다. 중국 인민해방군(PLA) 69010부대와의 연관성이 제기되었으며, ShadowPad 백도어에 접근 권한을 보유한 그룹 중 하나로 알려져 있습니다.
SINISTEREYE
2008년부터 활동해 온 중국 연계 APT 그룹으로, 중국 내 및 해외의 개인, 기업, 교육 기관, 정부 조직을 대상으로 사이버 첩보와 감시 활동을 수행합니다. 중국 인터넷 백본에 대한 접근 권한을 활용해 소프트웨어 업데이트를 가로채는 중간자 공격을 수행하며, Windows와 Android용 인플란트를 배포합니다.
SNEAKY DRAGON
동아시아와 동남아시아 지역의 조직을 표적으로 삼는 APT 그룹으로, 최소 2020년부터 활동해 온 것으로 알려져 있습니다. ESET는 이 그룹이 중국을 기반으로 활동하는 것으로 평가하고 있습니다. 은밀한 원격 접근 제공에 중점을 둔 모듈형 악성코드를 주 도구로 사용합니다.
SPARKLING GOBLIN
APT41(BARIUM)과 전술·기법·절차(TTP)가 일부 겹치는 APT 그룹으로, 주로 동아시아와 동남아시아에서 활동하지만 전 세계 다양한 산업군도 표적으로 삼습니다. 특히 학계에 대한 공격 비중이 높으며, ShadowPad 백도어에 접근 권한을 보유한 그룹 중 하나로 알려져 있습니다.
SPECCOM
IndigoZebra 또는 SMAC으로도 알려진 중국 연계 APT 그룹으로, 최소 2013년부터 활동해 왔습니다. 아프가니스탄, 우즈베키스탄, 키르기스스탄 등 중앙아시아 지역의 정치 조직을 주요 표적으로 삼는 것으로 보고되었으며, 그 외 러시아, 타지키스탄, 이스라엘 등에서도 공격 활동이 관찰되었습니다.
STARTUP NATION
여러 중국 연계 APT 그룹을 위해 악성코드를 개발·유지하는 역할을 담당하는 조직으로, 최소 2016년부터 활동해 왔습니다. SixLittleMonkeys, FourFunkyGorillas, Webworm, Worok, TA428, TA410 등 다수의 그룹에 도구를 제공한 것으로 평가되며, HDMan 툴체인과 Mikroceen RAT(BYEBY), Zmm 백도어, BeRAT 등을 개발했습니다.
STEPPE DRIVER
중화인민공화국 내몽골 자치구를 거점으로 활동하는 중국 연계 첩보 그룹으로, 2024년 ESET에 의해 처음 발견되었습니다. 프랑스의 자동차 딜러를 공격한 사례가 확인되었으며, 이후 몽골의 정부 기관과 남미의 로펌도 표적으로 삼았습니다. 다른 중국 연계 그룹과 도구를 공유하며, StartupNation의 고객 그룹으로 파악됩니다.
TA410
미국 유틸리티 산업과 중동·아프리카 지역의 외교 기관을 주로 표적으로 삼는 사이버 첩보 우산 그룹으로, 최소 2018년부터 활동해 왔습니다. JollyFrog, LookingFrog, FlowingFrog 등 세 개의 하위 그룹으로 구성되어 있으며, 2020년에는 복잡한 악성코드 패밀리인 FlowCloud가 이 그룹에 귀속되었습니다.
TA428
ThunderCats로도 알려진 중국 연계 APT 그룹으로, 최소 2014년부터 활동해 왔습니다. 몽골과 러시아를 포함한 동아시아 지역의 정부 기관을 주요 표적으로 삼으며, 맞춤형 백도어와 공유 도구를 사용합니다. TA428 역시 ShadowPad 백도어에 접근 가능한 그룹 중 하나로 알려져 있습니다.
THE WIZARDS
최소 2021년부터 활동해 온 중국 연계 APT 그룹으로, 필리핀, 아랍에미리트, 중국의 개인과 조직, 도박 업체 등을 표적으로 삼았습니다. ESET는 유명 중국어 입력기 애플리케이션 업데이트에 악성코드를 주입한 사례를 통해 이 그룹을 발견했으며, 중간자 공격을 통해 업데이트 경로를 악용할 수 있는 역량을 보유한 것으로 평가합니다.
TICK
BRONZE BUTLER 또는 REDBALDKNIGHT로도 알려진 APT 그룹으로, 최소 2006년부터 활동해 온 것으로 추정됩니다. 주로 아시아태평양(APAC) 지역을 표적으로 하며, 기밀 정보와 지식재산 탈취를 목적으로 한 사이버 첩보 활동을 수행합니다.
TRAPPED GOBLIN
중국 연계 위협 그룹으로, ESET가 GrapHop라는 이름으로 명명한 맞춤형 모듈형 악성코드를 사용합니다. 이 악성코드는 지속적인 원격 접근을 제공하도록 설계되었으며, 표적 환경에 맞춰 기능을 확장할 수 있는 구조를 갖추고 있습니다.
SNEAKY DRAGON
동아시아와 동남아시아 지역의 조직을 표적으로 삼는 APT 그룹으로, 최소 2020년부터 활동해 온 것으로 알려져 있습니다. ESET는 이 그룹이 중국을 기반으로 활동하는 것으로 평가하고 있습니다. 은밀한 원격 접근 제공에 중점을 둔 모듈형 악성코드를 주 도구로 사용합니다.
SPARKLING GOBLIN
APT41(BARIUM)과 전술·기법·절차(TTP)가 일부 겹치는 APT 그룹으로, 주로 동아시아와 동남아시아에서 활동하지만 전 세계 다양한 산업군도 표적으로 삼습니다. 특히 학계에 대한 공격 비중이 높으며, ShadowPad 백도어에 접근 권한을 보유한 그룹 중 하나로 알려져 있습니다.
STARTUP NATION
여러 중국 연계 APT 그룹을 위해 악성코드를 개발·유지하는 역할을 담당하는 조직으로, 최소 2016년부터 활동해 왔습니다. SixLittleMonkeys, FourFunkyGorillas, Webworm, Worok, TA428, TA410 등 다수의 그룹에 도구를 제공한 것으로 평가되며, HDMan 툴체인과 Mikroceen RAT(BYEBY), Zmm 백도어, BeRAT 등을 개발했습니다.
STEPPE DRIVER
중화인민공화국 내몽골 자치구를 거점으로 활동하는 중국 연계 첩보 그룹으로, 2024년 ESET에 의해 처음 발견되었습니다. 프랑스의 자동차 딜러를 공격한 사례가 확인되었으며, 이후 몽골의 정부 기관과 남미의 로펌도 표적으로 삼았습니다. 다른 중국 연계 그룹과 도구를 공유하며, StartupNation의 고객 그룹으로 파악됩니다.
TA410
미국 유틸리티 산업과 중동·아프리카 지역의 외교 기관을 주로 표적으로 삼는 사이버 첩보 우산 그룹으로, 최소 2018년부터 활동해 왔습니다. JollyFrog, LookingFrog, FlowingFrog 등 세 개의 하위 그룹으로 구성되어 있으며, 2020년에는 복잡한 악성코드 패밀리인 FlowCloud가 이 그룹에 귀속되었습니다.
THE WIZARDS
최소 2021년부터 활동해 온 중국 연계 APT 그룹으로, 필리핀, 아랍에미리트, 중국의 개인과 조직, 도박 업체 등을 표적으로 삼았습니다. ESET는 유명 중국어 입력기 애플리케이션 업데이트에 악성코드를 주입한 사례를 통해 이 그룹을 발견했으며, 중간자 공격을 통해 업데이트 경로를 악용할 수 있는 역량을 보유한 것으로 평가합니다.
TRAPPED GOBLIN
중국 연계 위협 그룹으로, ESET가 GrapHop라는 이름으로 명명한 맞춤형 모듈형 악성코드를 사용합니다. 이 악성코드는 지속적인 원격 접근을 제공하도록 설계되었으며, 표적 환경에 맞춰 기능을 확장할 수 있는 구조를 갖추고 있습니다.
UNSOLICITED BOOKER
최소 2023년부터 활동이 확인된 중국 연계 위협 행위자로, 사이버 첩보 활동을 수행합니다. 이 그룹은 중동 지역을 대상으로 한 공격에서 관찰되었으며, Space Pirates와 일부 인프라를 공유하는 점과 Zardoor 백도어를 사용하는 위협 행위자와의 연관성이 확인되었습니다. 다양한 인플란트에 접근할 수 있는 것으로 알려져 있으며, StartupNation의 고객 그룹 중 하나로 분류됩니다.
WEBSIIC
ToddyCat으로도 알려진 사이버 첩보 그룹으로, 2021년 ESET가 Microsoft Exchange 서버에 대한 ProxyLogon 취약점 악용 공격을 조사하는 과정에서 처음 발견했습니다. Kaspersky에 따르면 최소 2020년부터 활동해 왔으며, 네팔, 베트남, 일본, 방글라데시, 우크라이나의 조직을 표적으로 삼았습니다. 맞춤형 악성코드와 공개 해킹 도구를 병행해 사용하는 것이 특징입니다.
WEBWORM
2022년 Symantec에 의해 최초 보고된 사이버 첩보 그룹으로, SixMonkeys 및 FishMonger와 같은 중국 연계 APT 그룹과의 연관성이 제기되었습니다. 널리 알려진 악성코드 패밀리를 활용하며, StartupNation이 제공하는 도구를 사용하는 고객 그룹 중 하나로 알려져 있습니다.
WINNTI GROUP
최소 2012년부터 활동해 온 중국 연계 위협 그룹으로, 쓰촨성 청두를 거점으로 활동하는 것으로 알려져 있습니다. 비디오 게임 및 소프트웨어 업계를 겨냥한 공급망 공격을 통해 트로이목마화된 소프트웨어를 유포했으며, 이후 다양한 산업군(의료, 교육 등)의 조직을 침해했습니다.
WOROK
최소 2020년부터 활동해 온 중국 연계 사이버 첩보 그룹으로, ESET는 이 그룹이 베이징을 거점으로 활동하는 것으로 평가하고 있습니다. 몽골을 주요 표적으로 삼았으나, 키르기스스탄, 베트남, 튀르키예, 인도네시아, 나미비아의 조직도 공격한 사례가 확인되었습니다. 맞춤형 도구와 공개 도구를 병행해 사용하며, ShadowPad 백도어에 접근 가능한 그룹 중 하나입니다.
STURGEONPHISHER
YoroTrooper로도 알려진 사이버 첩보 그룹으로, 최소 2021년부터 활동해 왔습니다. 스피어피싱과 웹메일 자격 증명 탈취에 집중하며, 카스피해 연안 국가의 정부 관계자, 싱크탱크, 국영 기업 종사자를 주로 표적으로 삼고 있습니다. 특히 러시아가 가장 빈번한 공격 대상 국가로 확인되었으며, 기술적 지표와 피해 분석을 종합할 때 중앙아시아 지역을 거점으로 활동했을 가능성이 있는 것으로 평가됩니다.
최신 정보를 놓치지 마세요. 한발 앞서 대비하세요.
ESET 위협 보고서 H2 2025
ESET의 관측 데이터를 통해 관찰된 전 세계 위협 동향, 지역별 APT 활동 및 악성코드 동향을 심층 분석합니다.
APT 활동 요약
전 세계에서 진행 중인 APT 캠페인에 대한 최신 인사이트를 제공합니다.
WeLiveSecurity: 주요 뉴스 및 연구
최신 사이버 위협, 발견 사항 및 보안 동향에 대한 ESET 연구진의 전문 분석 및 해설을 확인하세요.
ESET 위협 인텔리전스 팟캐스트: 전 세계 위협 현황 분석
분석가들이 위협의 출처, 사용되는 도구, 전 세계적인 활동 동향 변화에 대해 논의하는 자리에 함께하세요
솔루션 개요
자세한 설명과 주요 기능을 통해 솔루션을 심층적으로 살펴보세요.
연락하기
더 자세히 알아보고 싶으신가요? 연락처 정보를 남겨주시면 자세한 내용을 안내해 드리겠습니다.
데모 안내, PoC에 대해 논의하거나 궁금하신 모든 질문에 답변해 드릴 수 있습니다.