친중국 성향 핵티비스트 전개…한국·일본·대만 주요 타깃으로 활동
[데이터넷] 중국 기반 공격자들이 활발하게 활동하는 가운데, 친중성향 핵티비스트 ‘샤오치잉(Xiaoqiying)’의 활동을 주시해야 할 필요가 있다는 보고서가 나와 주목된다. 레코디드퓨처는 제네시스데이, 텅스네이크라고도 불리는 샤오치잉에 대한 분석 보고서를 공개하고 세계적인 공격그룹과 활동하고 있다고 강조하면서 해킹 기술을 가진 개인을 모집하고 있다고 설명했다.
이들은 올해 초 우리나라 연구·학술기관 12곳의 웹사이트 변조와 데이터 유출 공격을 벌이면서 언론에 등장했는데, 이전에는 제네시스 데이라는 이름으로 2개의 텔레그램 채널에서 활동했으며, 우크라이나, 대만, 한국, 일본, 기타 서방국가를 침해했다고 주장했다. 우리나라 기관 공격 외에는 활동 증거가 발견되지는 않았는데, 이들은 APT35, 코어코드, 어나니머스, 랩서스, 하이브 등과 협력해 여거 국가 조직으로 활동 범위를 넓히고 있다고 주장한다.
이들은 금전목적이 아니라 이념 중심의 핵티비스트 활동을 하고 있는 것으로 보이며, 우리나라, 일본, 대만에 대한 표적공격을 벌이고 있으며, 중국에 적대적인 국가와 지역에 대한 작전을 시작해 이 국가의 네트워크와 인프라를 마비시킬 계획을 밝히고 있다. 레코디드퓨처는 아시아 태평양 지역의 교육, 연구·정부기관이 타깃이 될 것으로 보고 있다.
이들은 지난해 2개의 텔레그램 채널을 통해 자신의 활동을 홍보했다. 이들은 인터넷 연결장치와 원격 액세스 도구 취약점을 악용해 초기 액세스 권한을 확보한 것으로 분석되며, 코발트 스트라이크 등 침투테스트 도구를 크랙한 버전을 이용하는 것으로 보인다. 그리고 이들은 멀에어와 개념증명 익스플로잇, 유출된 데이터를 공유하면서 지하세계의 영향력을 확장하려는 것으로 분석된다.
이들은 지금은 사라진 브리치 포럼에서 중국 관련 데이터 유출 글을 텔레그램 채널에 자주 올렸으며, 북한을 표적으로 하는 위협그룹 ‘어게인스트더웨스트’ 회원에 대한 추측성 보고서도 공유했다. 그리고 “중국이 없는 세상은 무의미한 세상이 될 것이다. 우리는 중국을 정당한 위치로 되돌리기 위해 노력할 뿐이다”라는 글을 공개하기도 했다.
레코디드퓨처는 이들의 신뢰를 ‘보통’으로 평가했으며, 이들의 공격에 피해를 입지 않기 위해서는 인터넷 연결 디바이스의 패치를 적용하고, 불필요한 원격 액세스 도구를 비활성화 해야 한다고 권고했다.
