Nation-State Cyber Actors Analysis Report

블로그

Nation-State Cyber Actors Analysis Report Security Issue

공식 홈페이지

🇨🇳

중국 보안업체(i-SOON)과 중국정부 연관성으로 인한 FBI 기소에 따른 APT41과의 연관성 분석 : Aquatic Panda Cyber Threat Actor

작성자

김미희

감수인

작성일

2025/03/12

배포일

2025/05/13

문서등급

TLP:CLEAR

01. 사건개요

○ `25.03.05 FBI는 2016년경부터 2023년경까지 중화인민공화국(PRC)정부와 정보보안회사(Anxun Information Technology Co., Ltd.,安洵信息技术有限公司, 일명 i-SOON)의 공식·비공식 연결을 통한 전세계 사이버 정찰 행위에 따라 i-SOON직원 8명과 공안부(MPS, 公安部) 임원 2명 기소

- i-SOON은 2024년 LG U+ 해킹 이력이 있으며, i-SOON과 APT41 및 Winnti그룹간 연관성을 토대로 최근 빈번하게 발생한 중국발 사이버 공격을 사전에 예방하고자 관련 내용 공유

이름	직급	이름	직급
Wu Haibo(吴海波)	최고 경영자 겸 리더 활동명 shutd0wn, 일명 우사장(Boss Wu)로 명명	Wang Zhe(王哲)	Sales Director(침투테스트 팀장) 활동명 ken73224
Chen Cheng(陈诚)	Chief Operating Officer 활동명 lengmo, 일명 Chief C, Jesse Chen로 명명	Zhou Weiwei (周伟伟)	Technical Staff(기술연구개발센터 리더) 활동명 nullroot
Liang Guodong (梁国栋)	Technical Staff	Xu Liang(徐梁)	Technical Staff
Ma Li(马丽)	Technical Staff	Wang Liyu(王立宇)	MPS Officer 활동명 PICNIC350116
Wang Yan(王堰)	Technical Staff(침투테스트 리더) 활동명 crysolo	Sheng Jing(盛晶)	MPS Officer 활동명 sjbible

[표 1] FBI에서 기소한 10명의 i-SOON관련 명단

○ 지난 `24.02.16. 중국 사이버 보안업체(i-SOON)의 그룹 관계자에 의해 중국 정부의 공안부(MPS)에 8년간 제공하던 APT서비스로 해킹 및 기밀정보를 수집한 데이터가 GitHub에 공개되면서 최소 20여개국 정부기관 침투 정황 및 중국 정부의 사이버 정찰 행위 확인

○ 최근 북한, 중국, 러시아 등 국가 지원 사이버 공격 피해가 증가 됨에 따라 국가별 공격 행위에 대한 지속적인 분석 및 모니터링 강화가 필요

02. 중국 사이버 보안업체 i-SOON 상세정보

2.1. i-SOON 회사개요

○ (회사개요) 2015년 3월 중국 사이버 보안 회사인 i-SOON은 2010년 설립된 상하이의 ‘i-SOON Information Technology’ 자회사로 쓰촨성 청두시 소재에 ‘Sichuan Anxun Information Technology Co., Ltd. (四川安洵信息技术有限公司)’라고 설립

- WireScreen의 회사 소유권 기록에 따르면 i-SOON은 2018년 중국 과학 아카데미의 벤처 캐피털 부문인 Cash Capital이 통제하는 펀드에서 투자받았으며 해당 펀드는 i-SOON의 지분 3.1%를 보유

구분	설명
법인대표	우하이보(吴海波)
등록자본	1,500만 CNY (한화 약 30억원)
기업형태	유한책임회사
업종	정보기술 상담서비스, 정보시스템통합 서비스, 소프트웨어 개발 등으로 표기되어 있으나, 실제 업무는 중국정부의 사이버 스파이활동 지원, 맞춤형 악성코드 개발
투자내역	PitchBook 에서 제공하는 정보에 따르면, i-SOON은 CASH Capital과 Qihoo 360 Technology로부터 투자받은 것을 확인 가능 QiChaCha에 대한 정보에 따르면, i-SOON의 법적 소송내용이 유출된 채팅 내용에 근거한 것으로 확인
관련 악성코드	Winnti, ShadowPad
관련 APT 그룹	APT41, Chengdu404

[표 2] i-SOON 회사 정보 요약

○ (투자현황) 2018년에 i-SOON은 2019년에 중국 최대의 소비자 인터넷 보안 공급업체인 Qihoo360에서 분사된 공개 상장기업이자 중국의 대표적인 사이버 보안 회사인 QiAnXin Technology Group의 전액 출자 자회사로부터 큰 투자를 받음(2022년 베이징 동계올림픽 스폰서이자 서비스 제공업체)

- PitchBook에서 제공하는 정보에 따르면, i-SOON은 CASH Capital과 Qihoo 360 Technology로부터 투자받은 것을 확인 가능

[그림 1] CASH Capital과 Qihoo 360 Technology의 i-SOON 투자 현황

○ QiChaCha에 대한 정보에 따르면, 15건의 법적 소송이 제기되었는데 이는 유출된 채팅내용에 근거한 것으로 직원과 공급업체가 비용과 관련하여 i-SOON을 상대로 중재소송을 제기한 것과 일치

[그림 2] i-SOON 회사 정보 등재 현황

○ (주요서비스 제공현황) 정보기술 보안 컨설팅 업체로서 코드 감사, 보안 강화, 보안 운영, 사고 대응, 침투 테스트 및 APT 공격 방어 등의 서비스를 제공

○ (내부정보 공개) 2024년 2월 16일 내부 정보를 폭로하려고 알려진 익명의 직원 2명에 의해 `24.02.16. i-SOON의 그룹 관계자에 의해 중국 정부의 공안부(MPS)에 8년간 제공하던 APT서비스로 해킹 및 기밀정보가 GitHub에 공개(현재는 GitHub가 비공개 상태)

○ (i-SOON과 관련된 그룹 현황) 공개된 데이터를 통해서 APT41와 Winnti Group의 운영배후로 밝혀진 중국 청두에 본사를 둔 ‘Chengdu Silingsi (404) Network Technology Company(成都市肆零肆网络科技有限公司)’와 긴밀한 관계인 것으로 확인

- 하지만 2022년부터 i-SOON이 Chengdu 404에 빚진 100만 위안(14만 달러) 이상을 갚지 못하면서 불화가 시작되고 소송이 시작되었으며, i-SOON은 현재 24건의 사법사건을 포함하여 40건의 법적절차가 진행중

- 2020년 8월에 미국 법원은 ‘C404 Indictment’의 기소장을 통해 위협 그룹 APT41과 회사 Chengdu 404와 관련된 세 명의 해커를 기소

[그림 3] i-SOON 지분구조 현황(좌), 미국 법원에서 APT41 관련 해커 고소 내용(우)

3.2. 유출자료 현황

○ 2024년 2월 16일 내부 정보를 폭로하려고 알려진 익명의 직원 2명이 GitHub를 통해서 공개한 자료에서 LG U+를 포함하여 국내 기업 3곳에서 대량의 데이터 유출 공개

•

GitHub에 사용된 메일 계정인 I-SOON@proton.me은 `24.1.15 20:19경 등록되었으며, 한달 후에 해당 이메일로 컨텐츠를 업로드(상당수의 자료들은 해당 내용을 토대로 분석)

•

국내 해킹기업 현황 : ① Korea_99 인구 : 10.5MB 데이터 표, ② 인구 데이터 : 14.7GB 데이터 표, ③ LG U+ 사업자 : 2019년부터 2021년까지의 통화 로그 데이터 3TB

[그림 4] GitHub에 국내 해킹자료로 유출된 정보 현황

○ 유출된 자료 내에서 레파지토리별 유출된 메신저 송수신 대상을 확인할 수 있으며, i-SOON의 유출된 온라인 채팅을 시각화하면 다음과 같음

[그림 5] GitHub에 유출된 메신저 내용간의 연관성 분석 시각화 현황[링크]

○ 특히 유출된 데이터 상에서 언급된 10개의 IP정보를 토대로 Chengdu404, APT41, PIOSON CARP, JACKPOT PANDA와의 연관성 발견

- 118.31.3.116, 74.120.172.10, 8.218.67.52, 171.88.143.37, 1.192.194.162, 101.219.17.111, 221.13.74.218, 171.88.142.148, 171.88.143.72, 66.98.127.105

IoC	연관 키워드	연관 C2
Chengdu404	Elemental Taurus(APT41), Threadstone, Winnti	-
APT41	PlugX, ShadowPad	118.31.3[.]116
PIOSON CARP	mailnotes[.]online	74.120.172[.]10
JACKPOT PANDA	Comm100 Supply Chain	8.218.67[.]52

[표 3] GitHub로 유출된 자료와 타 APT공격 IoC간의 연관성 분석 내용

3.3. i-SOON 제품 주요 기능

○ i-SOON에서는 모든 활성 버전의 Windows, Mac OS, Android, IOS 및 Linux를 지원할 수 있는 원격 접근 도구인 RAT를 판매하고 있으며, 주요 글로벌 및 중국 소셜 미디어 사이트를 위한 감시용 도구로 완전 자동화된 침투 테스트 및 기능을 제공

[그림 6] 플랫폼 지원 기술 현황

구분	기능 설명
1. 이메일 분석 인텔리전스 플랫폼	- 이메일은 SMTP, POP3, iMAP, 그리고 가장 중요한 Exchange를 통해 자동으로 가져오고 전송 중에 "일반 텍스트가 아닌" 전송을 추가하도록 Exchange 서버를 구성 - 대규모 이메일 데이터 분석, 개인 정보 마이닝, 이메일 네트워크 분석, 이메일 헤더의 IP, 이메일 첨부 파일 추출, 테라바이트급 이메일 데이터의 신속한 분석 및 검색, 키워드 검색 및 자동 번역
2. OSINT 정찰 및 트위터 모니터링 플랫폼	- Twitter/xStealer: 이 도구는 Twitter 사용자의 이메일 주소와 전화번호를 검색하여 실시간으로 활동을 모니터링하고, 사용자를 대신하여 직접 메시지를 읽고, 트윗을 게시
3. 멀티 플랫폼 악성코드 (Windows, macOS, Linux, iOS 및 Android 지원)	- RAT : 프로세스/서비스/레지스트리 관리, 원격 셸, 키 로깅, 파일 액세스 로깅, 시스템 정보 획득, 연결 해제, 제거 등의 기능을 갖춘 Windows x64/x86용 맞춤형 RAT를 구축 - Mac 지원 : 원격 셸, 파일 관리, 스크린샷, 키 로깅 등 지원 - Android : QQ, WeChat, 모모 등 인기 있는 중국 메신저 앱의 메시지를 덤프하는 기능(루트 필요), 특히 QQ, WeChat, 모모 및 텔레그램을 키로깅하는 기능/ 지속성을 위해 시스템 앱으로 승격하는 기능(루트 필요)

4. 해외 지원을 위한 Tor 및 네트워크 통신 장비

5. WiFi 네트워크 대상 온프레미스 해킹용 물리적 HW 장치

03. 공격국가 및 공개정보 현황

3.1. 공격국가 및 피해현황

○ 인도, 파키스탄, 카자흐 스탄, 키르기스스탄, 태국, 말레이시아, 몽골, 미얀마, 네팔, 르완다, 베트남, 인도네시아, 캄보디아, 나이지리아, 이집트, 한국, 터키 등의 정부 및 기업 기관

○ 인도(이민 관련 데이터 95.2GB), 대만(도로 지도 데이터 498GB), 한국(대형 통신업체 3TB 규모 통화기록), 베트남, NATO 등 최소 20여 개국 정부기관을 침투한 정황이 확인

○ 중국 공안부(MPS), 국가안전부(MSS), 인민해방군(PLA) 등과 작게는 1400달러(약 180만원)부터 최대 80만 달러(약 10억6000만원)규모의 계약이 수백 건에 이르며, 중국 정부에서는 민간 사이버 보안업체를 통한 대규모 해킹 생태계 구축 우려

[그림 9] i-SOON을 통해 피해받은 정보 현황(출처 : 調査報道新世紀 File6 中国・流出文書を追う)

○ 대화내용을 미루어 △ 2022년 9월 캐나다 소프트웨어 회사 Comm100에 대한 공급망 공격과 △ 2019년 9월 Citizen Lab이 발표한 iOS 및 Android 익스플로잇을 통해 티베트 집단을 표적 공격 정황이 확인

① 2022년 9월, 캐나다 소프트웨어 회사 Comm100 공급망 공격

•

Trend Micro가 공개한 분석 보고서에 따르면 대화 중인 사용자가 자신의 서버라고 주장하는 8.218.67.52는 db4497090a94d0189aa3c3f4fcee30d5381453ec5aa38962e2ca971074b74e8b의 SHA256과 함께 Linux ELF 파일을 제공

•

해당 파일은 이 파일은 URL hxxp[:]//8.218.67.52/js/xxx.jpg 에서 제공되었으며, 파일 실행 시 unix.s3amazonbucket.com(비정상 Amazon 도메인) 도메인에 연결 시도

•

s3amazonbucket.com 의 또 다른 하위 도메인 (analyaze.s3amazonbucket.com)이 트로이 목마 설치 프로그램의 명령 및 제어(C2) 서버로 사용5

[그림 10] 캐나다 소프트웨어 회사 Comm100 공급망 공격 관련 메신저 내용 일부

② 2019년 9월, iOS 및 Android 익스플로잇 통해 티베트 집단 표적 공격

•

Citizen Lab가 공개한 분석보고서에 따르면 iOS 및 Android 익스플로잇을 통해 티베트 집단을 표적의 공격을 수행했으며,, POISON CARP로 추적하는 중국위협그룹 소행 추정

•

8개의 Android 브라우저 익스플로잇, 1개의 Andorid 스파이웨어 키트, 1개의 iOS 익스플로잇 체인과 iOS 스파이웨어 발견

•

IP 주소 74.120.172.10은 2020년 9월 22일부터 2024년 2월 20일까지 mailteso.online 도메인과 2021년 8월 7일부터 7월 12일 사이에 mailnotes.online 도메인과 연결

•

정보 공개 당시에 mailnotes.online은 IP 주소 207.246.101.169 와 연결되어 있었으며 동시에 gmail.isooncloud.com 도메인과 연결

[그림 11] iOS 및 Android 익스플로잇 통해 티베트 집단 표적 공격 메신저 내용 일부

3.2. 공개정보 현황

○ 유출된 데이터는 570여 이상의 파일, 이미지, 로그 기록 등이 포함되어 있으며 회사에 대한 불만 사항, 채팅 기록, 금융 정보, 제품, 직원 정보, 해외 침투 내역 등으로 구분되어 있으며, 2018년 11월에서 2023년 1월 사이의 직원과 관리자 간의 텍스트 대화 기록 37개(고유한 사용자 이름이 포함)

○ 특히 눈에 띄는 대화 기록은 i-SOON의 우하이보(吴海波, “Shutd0wn”)와 천청(陈诚, “lengmo”) 간의 2020년 8월 1일부터 2022년 8월 30일까지의 채팅 기록으로 우하이보는 2010년 i-SOO을 창립하고 1990년대 중국의 민조주의 해커활동 운동 초기에 ‘녹색군(绿色兵团)’의 일원으로 활동

○ 최근에 2024년 9월 22일 NHK에서 방영한 ‘調査報道新世紀 File6 中国・流出文書を追う’유출된 문서의 진위 여부를 확인하는 추적을 진행하였으며, 대만의 정치대학의 황조년 부교수 인터뷰 결과 2022년부터 2024년까지 로그인 실패 기록이 다수 확인되었으며 일부는 메일함이 복사되거나 다운로드된 흔적 확인

○ 이외에도 체코 국회의원 파벨 피셸은 유출된 데이터는 체코 정부가 2년 전 작성한 EU 내부 문서이며 이 파일의 생성일자는 2022년 5월 2일으로 러시아에 의해 우크라이나 침공이 발생한지 2개월이 지난 시점 인 것으로 확인

3.3. i-SOON 및 관련 조직 구성현황

○ 유출된 데이터에 따르면 대화의 주요 참여자는 APT41과 연관성이 높은 Chengdu 404 Network Technology Company의 △ 천천(Qian Chuan, 钱川), △ 장리지(Jiang Lizhi, 蒋立志), △ 푸치앙(Fu Qiang, 付强) 3명과 i-SOON의 △ 우하이보(吴海波), △ Jesse Chen의 5명으로 구성

•

Chengdu 404로 불리는 ‘Chengdu YanLong Technology Company Ltd (成都炎龙科技有限公司)‘은 2009년에 인수된 Blaze Loong Technology Company의 자회사

•

APT41그룹과 연계되어 있는 Lu Jian(鲁剑, BlackJack, QQ 5238342)은 Chengdu 404 소속의 Jiang LiZhi과 유사하게 ‘Black’으로 시작하는 아이디를 사용

[그림 12] QQ매신저 내역을 통한 APT41과 Chengdu 404구성원 간의 연계성 분석

○ 2004년 CSDN에 'ISS_Manager’라는 게시물에 장리지인 Blackfox 연락처와 QQ 번호(6858849), 도메인 fox.he100.com이 포함

구분	ID	직급	QQ번호	비고
천천 (Qian Chuan, 钱川)	Squall	사장		- Chengdu 404의 지분 30%를 보유 - APT41기소장에 따르면 2010년부터 디지털 미디어에서 기밀정보 삭제 SW개발 진행
장리지 (Jiang Lizhi, 蒋立志)	Black Fox	기술 부사장	6858849	- Chengdu 404의 지분 20%를 보유 - 중국 MSS와의 기밀한 관계를 이어오고 있음
푸치앙 (Fu Qiang, 付强)	StandNY	빅데이터 개발 관리자

[표 5] Chengdu 404 주요 인물 정보 현황

[그림 13] 천천(Qian Chuan, 钱川)

[그림 14] 장리지(Jiang Lizhi, 蒋立志)

[그림 15] 푸치앙(Fu Qiang, 付强)

○ Jiang LiZhi는 QQ그룹을 통해 지인들과 연락 매체로 활용하였으며, 다른 그룹에서는 Jiang LiZhi이 관련된 청두에 있는 온라인 게임 회사인 Blaze Loong Science and Technology(成都炎龙科技有限公司)를 언급하기도 함

•

Jiang LiZhi가 연락한 QQ 계정 중 일부는 Tan Dailin, Qian Chuan, Fu Qiang을 포함한 다른 APT41의 구성원 개인들과 대화

•

Jiang LiZhi가 관여했던 Blaze Loong QQ 계정은 청두에 본사를 둔 게임 회사이며, Zhejiang Huge Leaf Company(浙江翰叶 股份 有限公司)의 전액 자회사로 Blaze Loong은 국제 마케팅 플랫폼을 사용하여 게임 제품을 수입하고 수출

○ YanLong은 2009년에 인수된 Blaze Loong Technology Company의 자회사로 WHOSIT정보에는 blackfox@qq.com가 등록되어 있음

•

APT41그룹과 연계되어 있는 Lu Jian(鲁剑, BlackJack, QQ 5238342)은 ‘중국 공산당 재무부(QQ 3391434)’의 일원으로 장리지가 관여하고 있는 Blaze Loong 회사의 로고를 디스플레이 프로필로 사용하기도 함

•

결과적으로 i-SOON의 주요 구성원 중 하나인 Jiang LiZhi은 APT41과 밀접한 관련 존재

○ 유출된 채팅내용을 기반으로 사용자를 식별한 https://github.com/soufianetahiri/Anxun-isoon/tree/main에 따르면 식별된 사용자는 lengmo총 4981개의 메시지를 보낸 가장 많은 발신자이고 이는 lengmo대화에서 가장 활동적인 참여자임을 나타내는 지표로 분석가능

•

가장 빈번한 통신 쌍은  lengmo와  Shutd0wn이며 4635 개의 메시지를 Shutd0wn로 전송하고 있으며 이는 이 두 사용자 간에 상당한 양의 상호 작용이 있음을 시사

•

lengmo이 데이터는 와  사이에 강력한 의사소통 링크가 있음을 의미하며 Shutd0wn, 잠재적으로 그룹 내의 핵심 관계나 계층 구조

•

lengmo의 높은 수준의 활동은 대화 역학에서 리더십이나 중심 역할을 수행하는 것을 수치적으로 확인 가능

[그림 16] GitHub에서 유출된 메신저 내용간의 대화 현황

○ i-SOON내에 주요 활동자는 Shutd0wn로 i-SOON의 대표인 우하이보(吴海波)와 Lengmo으로 활동하는 Jesse Chen으로 도출

구분	설명
우하이보 (吴海波) ID : Shutd0wn	- i-SOON의 대표이자 유명한 1세대 레드 해커 혹은 혼커(红客)로, 1997년 창립된 중국 최초의 해커 활동 단체인 녹색군(绿色兵团)의 초창기 멤버 - 2010년에 자신의 개인 이메일 주소 shutdown@139.com 을 사용하여 i-soon.net 도메인을 등록 - 동일한 이메일 계정에서 RUN-YEAH.COM 및 vulscan.online이라는 두 개의 다른 도메인을 등록하고 WHOIS 기록에는 등록하는 동안 사용된 전화번호(+86-13761671735)도 표시 - Skype : shutdown_24, Twitter(X) : 폐쇄, goodreads : 83718223-wu-haibo
Jesse Chen ID : Lengmo	- lengmo.net에서 블로그를 운영하기도 했는데 현재는 다운(Wayback Machine에서 이전 기록 확인가능) - 블로그는 주로 2013년에 작성되었으며, 블로그에 자신의 이메일 주소 lengmo@live.com 과 l3n6m0@gmail.com을 공개 - https://www.linkedin.com/in/jesse-chen-344153110/ - WeChat의 사용자 명 : ! 4p47hy, 위치정보 : 아이슬란드(https://twitter.com/l3n6m0에서는 폴란드라고 밝힘) - lengmo@vip.qq.com를 주로 사용했으며 해당 메일주소를 이용하여 다수의 도메인을 등록 - lengmo@yahoo.cn이라는 또 다른 이메일 주소를 두고 이를 사용하여 3개의 도메인을 더 등록 - "C.Rufus Security Team"은 2008년 3월 오픈 웹에 Gh0st RAT을 공개한 것으로 유명한 중국 그룹

[그림 17] lengmo@vip.qq.com을 이용해 등록한 다수의 도메인

04. i-SOON과 타 공격그룹과의 연계성 분석

4.1. i-SOON그룹의 제품 내 연계성 분석

○ 유출된 정보 중 “Anxun Information Technology Co., Ltd.”로 번역되는 꼬리말이 포함되어 있으며 i-SOON에서 판매하는 다양한 소프트웨어 도구에 대한 제품 설명서로 판단

•

스크린샷에서 악성코드의 대시보드 이름이 ‘Treadstone’라고 명시되어 있는데, 이는 미국에서 APT41과 관련된 기소문에서 언급된 내용과 동일

[그림 18] i-SOON 제품과 APT41간의 연계성(출처 : 調査報道新世紀 File6 中国・流出文書を追う)

○ 유출된 정보 중 ShadowPad에서 171.88.143.72가 있는 것을 확인할 수 있는데 해당 IP의 호스팅 정보에 따르면 청두에 있는 i‑SOON 공동 창립자 Chen Cheng를 의미하는 lengmo인 것으로 확인

[그림 19] 유출정보 내 ShadowPad와의 연계성 정보

○ 유출된 정보 중 ShadowPad라는 Windows RAT 제품 매뉴얼에서 스크린샷 중 하나에 예시 IP 주소와 포트인 118.31.3.116:44444가 표시

•

해당 IP정보는 2021년 8월에 Winnti Group에서 2015년 PlugX의 후속 제품으로 사용한 ShadowPad C2와 동일

•

알려진 ShadowPad 구성과 직접 일치하며 특히 MyTest 및 설치 경로

•

%ALLUSERPROFILE% \DRM \Test \Test.exe이나 맞춤형 ShadowPad 패커 ScatterBee(ShadowShredder 및 PoppingBee라고도 함)와 일치

•

Treadstone, ShadowPad, Winnti Group에서 사용되는 악성코드 상당수가 ATP41과 유사하다는 다수의 연구가 존재

[그림 20] 118.31.3.116:44444를 통한 ShadowPad와의 연계성

[그림 21] ShadowPad 제품 화면 일부

4.2. i-SOON그룹과 APT41간의 연계성 분석

○ i-SOON은 중국 국가지원 위협 행위자인 RedAlpha, RedHotel, POISON CARP와 긴밀한 연관성이 존재

① POISON CARP그룹과 i‑SOON와의 연계성

○ 티베트를 타깃으로 모바일 기기정보를 탈취하는 POISON CARP공격에 사용된 IoC중 UCLOUD INFORMATION TECHNOLOGY인 gmail.isooncloud[.]com, 107.150.102[.]143와 연계

•

IT7NET의 IP 주소 74.120.172[.]10은 유출된 i-SOON 직원 채팅 로그에서 직접적으로 언급되었으며, 74.120.172[.]10 IP 주소는 과거에 mailnotes[.]online 도메인을 호스팅하고 Citizen Lab의 POISON CARP 관련

•

해당 IP는 유사한 이름을 가진 현재 이 IP 주소는 유사한 이름을 가진 mailteso[.]online으로 호스팅된바 있으며, 해당 직원들은 Android 원격 액세스 트로이 목마(RAT)를 언급하고 있는데, 이는 POISON CARP의 모바일 기기 타겟팅 활동과 일치

•

2019년, mailnotes[.]online은 Vultr IP 주소 207.246.101[.]169로 이 IP는 Citizen Lab 보고서에서 언급된 또 다른 도메인 gmailapp[.]me의 서브도메인과 동시에 호스팅된 이력이 존재

[그림 22] “wxid_hlmnhsq64tt722"와 ‘wxid_12n748um1thl21’ 간의 채팅 로그를 기반으로 한 i-SOON과 ‘POISON CARP’ 위협 활동 그룹 간의 연결 고리

② RedHotel그룹과 i‑SOON와의 연계성

○ RedHotel(Aquatic Panda, Bronze University, CHROMIUM, Charcoal Typhoon, ControlX, Earth Lusca, Fishmonger, Red Dev 10, Red Scylla, TAG-22)으로 활동하는 공격그룹 역시 i-SOON간의 연계성이 존재

○ Liang Guodong과 연계성이 있는 3개의 ioc정보인 girder1992@Hotmail[.]com, 43.239.156[.]63, 1ds[.]me에서는 docx.1ds[.]me의 하위 도메인에서 web.goog1eweb[.]com호스팅이 중복되거나 winnti그룹과의 c2도메인이 중복되는 것을 확인

○ Ae9d6848f33644795a0cc3928a76ea194b99da3c10f802db22034d9f695a0c23 : ip.1ds[.]me 4741c2884d1ca3a40dadd3f3f61cb95a59b11f99a0f980dbadc663b85eb77a2a : ip.1ds[.]me

[그림 23] 2018년에 i-SOON과 RedHotel그룹간의 연관 관계(출처 : Recorded Future)

○ RedHotel공격이 발생한 시점에 i-SOON공격자 사이에 중복되는 내용이 다수 발견

[그림 24] RedHotel과 i-Soon 피해 사례 중복(출처 : Recorded Future)

[그림 25] 2021년 5월 Nepal Telecom 데이터 유출에 대한 언급

[그림 26] 2019년부터 2021년까지 홍콩의 여러 대학에서 유출된 데이터 참고자료

③ RedAlpha(Deepcliff, Red Dev)그룹과 i‑SOON와의 연계성

○ RedAlpha INVESTCLOUD와 자격증명 피싱도메인이 중복으로 사용되어 www.sw-hk[.]services, antspam-mail[.]services, 23.249.165[.]150를 통해 i-SOON과 RedAlpha간 연관성 발견

○ “Liang Guodong” (梁国栋, also known under the monikers “girder” and “liner”)라는 이름으로 명명된 분석에서도 6060841@qq[.]com, i-SOON co-founder Chen Cheng (陈诚)와 lengmo등을 통해서 두 그룹의 구성원간의 연계성 확인

[그림 27] RedAlpha(Deepcliff, Red Dev 3)그룹과 i‑SOON와의 연계성

4.3. i-SOON그룹과 APT41간의 악성코드 관점

① 2015년 : PlugX의 후속 제품으로 등장한 ShadowPad

○ 2015년 PlugX의 후속 제품으로 등장한 ShadowPad는 CCleaner, NetSarang, ShadowHammer와 같은 공급망 공격이 발생하기 전까지는 이슈를 끌지 못하였으나 중국 공격그룹과의 연계성이 부각되면서 관심이 높아짐

○ whg이라는 키워드를 통해 BARIUM (Tan Dailin aka Rose and Zhang Haoran) and LEAD (Chengdu 404 Network Technology Co., Ltd)과의 연관성이 존재

○ 이외에도 101.219.17[.]111, 118.31.3[.]116, 1.192.194[.]162, 171.88.142[.]148, 171.88.143[.]37, 171.88.143[.]72, 221.13.74[.]218, 66.98.127[.]105, 8.218.67[.]52, 74.120.172[.]10 등의 IoC 정보를 통해서 연계성 확인 가능

② 2018년 ~ 2019년 : 가짜 페르소나를 통한 POISON CARP의 악성코드 유포

○ 2018년 11월에서 2019년 5월 사이에 티베트 단체의 고위 구성원들은 NGO 직원, 언론인 및 기타 가짜 페르소나로 가장한 운영자와 개별적으로 맞춤화된 WhatsApp를 통해 악성링크로 유포

•

이 링크는 웹 브라우저 취약성을 악용하여 iOS 및 Android 기기에 스파이웨어를 설치하도록 설계된 코드로 이어졌고, 어떤 경우에는 OAuth 피싱 페이지로 연결

○ POISON CARP가 총 8개의 Android 브라우저 익스플로잇과 1개의 Android 스파이웨어 키트, 그리고 1개의 iOS 익스플로잇 체인과 iOS 스파이웨어를 사용

•

채팅 로그에서 "플랫폼”으로 언급되는 74.120.172.10이 mailnotes[.]online에 해당하는 것으로 이는 티베트를 타깃팅한 공격에 해당

○ 수동 DNS데이터와 악성페이지에 사용된 주소 : antmoving[.]online, beemail[.]online, bf[.]mk, energy-mail[.]org, gmailapp[.]me, izelense[.]com, mailanalysis[.]services, mailcontactanalysis[.]online, mailnotes[.]online, polarismail[.]services, rf[.]mk, walkingnote[.]online

③ 2019년 11월, 홍콩 대학 2곳 대상의 캠페인에서 ShadowPad 백도어 변종발견

○ 악성코드 특징으로는 기존과 달리 VMProtect로 난독화되지 않고 암호화된 페이로드는 오버레이에 내장되지 않음

[그림 28] ShadowPad 백도어 관련 공격 구성도(출처 : InsidetheLab)

•

DLL side-loading 및 쉘코드를 복호화하여 사용하는 기능 존재

•

모듈이 Root 모듈에서 참조되는 멀티모듈러 백도어로, 모듈 주소, UNIX 타임스탬프(아마도 모듈 컴파일 프로세스 중에 자동으로 포함됨) 및 모듈 식별자를 추출

•

Config 모듈( 102 )에는 다른 모듈에서 액세스할 수 있는 암호화된 문자열 목록 존재

•

wmplayer.exe에 Injection하여 13567포트로 다음의 C2와 통신 : b[org_name].dnslookup[.]services:443, w[org_name].livehost[.]live:443, w[org_name].dnslookup[.]services:443

④ 2022년 9월 말 Comm100 대상 공급망 공격 정황 발견

[그림 29] Comm100 대상 공급망 공격 구성도(출처 : TrendMicro)

○ 공격에 사용된 LiveHelp100은 Comm100은 회사운영의 구조적인 공통점 존재

○ 2022년 2월 초에 LiveHelp100의 웹 애플리케이션에 Injection된 JavaScript백도어가 존재

•

LiveHelp100 클라이언트 애플리케이션의 Windows 및 macOS 버전은 Electron.js 런타임 프레임워크로 개발되었으며 URL접근 시에 C&C인 8.219.76.37와 통신hxxp[:]//service[.]livehelpl00service[.]com/livehelp/collect

○ 주요 애플리케이션 스크립트가 포함된 LiveHelp100 ASAR 패키지 내부의 모든 Node.js 모듈을 복사하고 Electron.js 스크립트를 ./index.js로 설정하기 위해 새로운 package.json 파일을 생성

○ Anti-Debugging기능이 있는 Threat를 통해서 사용자 머신정보를 암호화되지 않은 바이너리 구조로 C2에 전송

○ files[.]amazonawsgarages[.]com:888에서 2단계 실행파일을 다운로드

⑤ i-SOON과 POISON CARP IoC간의 연관성

○ 중국 내 보안업체들은 국가기관과의 긴밀한 연계관계를 갖고 있기 때문에 보안업체의 스캐닝 성능은 국가의 성능으로 귀결될 가능성이 높음

○ 국가안전부(MSS) 산하 중국정보기술보안평가센터(中国信息安全测评中心)이 운영하는 중국정보보안국가취약성데이터베이스(CNNVD)(国家信息安全漏洞库)를 기반으로 분류하면 2024년에 스캐닝 및 모니터링 범주의 22개 공급업체 중 15개가 CNNVD의 취약점 분류가 가능한 것으로 확인

[그림 30] 중국사이버보안산업기반 웹 스캐닝 및 모니터링업체(출처 : Natto Thoughts)

○ 다만 중국 보안회사로 가장 높은 영향을 발휘하고 있는 i-SOON과 Chengdu 404는 해당 목록에 업뎃을 하지 않았다는 점은 눈여겨 볼만한 여지가 있음

○ i-SOON은 2024년 9월 22일 NHK에서 방영한 ‘調査報道新世紀 File6 中国・流出文書を追う’에 따르면 사무실의 흔적을 지우는 양상을 보이고 있어 이와 같은 상황이 반영된 결과라 볼 수 있음

[그림 31] i-SOON 사무실 현황(출처 : 調査報道新世紀 File6 中国・流出文書を追う)

4.4. i-SOON그룹과 APT41간의 공격도구 연관성

[그림 32] APT41 조직 구조에서 Earth Longzhi의 위치(출처 : TrendMicro)

○ 47.108.173.88, www.affice366.com, www.vietsovspeedtest.com, c.ymvh8w5.xyz, 139.180.138.226를 기반으로 공격의 유사성 확인 가능

○ APT41의 하위 공격그룹인 Earth LonghzhiY은 스피어피싱을 통해 초기 진입경로로 사용하였으며 악성코드 실행 시에 추가 악성코드를 다운로드 할 수 있는 링크로 CroxLoader(Cobalt Strike로더가 있는 Google Drive로 리다이렉션)

○ 이후 Cobalt Strike로더의 탐지우회를 위해 Symatic 로더는 사용하였으며 안티후킹을 사용하여 Windows 커널 유틸리티 ntdll.dll 의 사용자 모드 면에서 메모리 내 후크 복원하거나 API UpdateProcThreadAttribute를 사용하여 부모 프로세스를 위장하고 복호화된 페이로드를 시스템 내장 프로세스(dllhost.exe또는 rundll32.exe에 Injection수행

○ 이후 2021년 8월부터 2022년 6월까지 CroxLoader, BigpipeLoader, OutLoader라는 맞춤형 도구를 사용

05. MITRE ATT&CK Enterprise Mapping

○ 해당 MITRE ATT&CK Enterprise Mapping내용은 문제에서 제시된 참고자료 이외에 다수의 참고자료를 기반으로 Winnti그룹과 중국 기반의 해킹그룹인 APT1, APT3, APT10, APT17, APT18, APT19, APT40, APT41과의 연관성이 존재하는 것으로 분석

○ 게임, 하이테크, 미디어, 교육 등 공급망 공격을 수행하였으며 특히 지속적으로 게임관련 타깃을 공격한 것이 특징

○ 초기 접근 시에는 스피어 피싱이나 크리덴셜 탈취 등을 통해 접근 후 공개된 도구와 악성코드를 사용하여 공격하며 정보 탈취 및 흔적 삭제 등을 수행

○ 공격전인 Reconnaissance에서는 다음과 같은 스캐닝 활동을 수행하며, CVE-2012-0158, CVE-2015-1641, CVE-2017-0199, CVE-2017-11882, CVE-2019-3396CVE-2019-19781, CVE-2019-11510, CVE-2019-16920, CVE-2019-16278, CVE-2019-1652/CVE-2019-1653, and CVE-2020-10189등의 취약점을 주로 활용

•

Active scanning - T1595 : Acunetix , Nmap, OneForAll, subdomain3, subDomainsBrute, Sublist3r, JexBoss(JBoss나 기타 자바 취약점 검색)

•

Passive scanning. Search Open Technical Databases: Scan Databases - T1596.005 : 중국판 Shodan인 FOFA를 검색하여 공개된 포트와 서비스에 대한 정보 확인

Initial Access	Execution	Persistence	Privilege Escalation	Defense Evasion	Credential Access	Discovery	Lateral Movement	Collection	Command and Control	Exfiltration	Impact
Exploit Public-Facing Application	Command-Line Interface	Accessibility Features	Access Token Manipulation	Binary Padding	Account Manipulation	Account Discovery	Pass the Hash	Automated Collection	Commonly Used Port	Data Compressed	Data Encrypted for Impact
External Remote Services	Compiled HTML File	Account Manipulation	Accessibility Features	Clear Command History	Brute Force	Domain Trust Discovery	Remote Desktop Protocol	Data from Information Repositories	Connection Proxy	Data Encrypted
Spear-phishing Attachment	Execution through API	Bootkit	DLL Search Order Hijacking	Code Signing	Credential Dumping	File and Directory Discovery	Remote File Copy	Data from Local System	Custom Command and Control Protocol	Exfiltration Over Command and Control Channel
Supply Chain Compromise	Execution through Module Load	Create Account	Path Interception	Deobfuscate / Decode Files or Information	Credentials in Files	Permission Groups Discovery		Input Capture	Data Encoding
Trusted Relationship	Exploitation for Client Execution	DLL Search Order Hijacking	Process Injection	Disabling Security Tools	Input Capture	Process Discovery		Screen Capture	Data Obfuscation
Valid Accounts	Graphical User Interface	External Remote Services	Valid Accounts	DLL Search Order Hijacking	Private Keys	Security Software Discovery			Domain Generation Algorithms
	Mshta	Hooking	Web Shell	DLL Side-Loading		System Information Discovery			Remote Access Tools
	PowerShell	Modify Existing Service		File Deletion		System Network Configuration Discovery			Remote File Copy
	Scheduled Task	New Service		Indicator Blocking		System Network Connections Discovery			Standard Application Layer Protocol
	Rundll32	Path Interception		Indicator Removal on Host		System Owner/User Discovery			Standard Cryptographic Protocol
	Scripting	Redundant Access		Masquerading		System Time Discovery			Standard Non-Application Layer Protocol
	Service Execution	Registry Run Keys / Start Folder		Modify Registry		Virtualization and Sandbox Evasion			Uncommonly Used Port
	User Execution	Startup Items		Mshta
	Windows Management Instrumentation	Valid Accounts		Obfuscated Files or Information
		Web Shell		Process Injection
				Rootkit
				Rundll32
				Scripting
				Software Packing
				Timestomp
				Valid Accounts
				Virtualization and Sandbox Evasion
				Web Service

06. 참고자료

•

I-030525-PSA - Beijing Leveraging Freelance Hackers and Information Security Companies to Compromise Computer Networks Worldwide : https://www.ic3.gov/PSA/2025/PSA250305

•

Data From Chinese Security Services Company i-Soon Linked to Previous Chinese APT Campaigns : https://unit42.paloaltonetworks.com/i-soon-data-leaks/

•

The people behind Chengdu 404 : https://intrusiontruth.wordpress.com/2022/07/23/the-people-behind-chengdu-404/

•

Attributing i-Soon: Private Contractor Linked to Multiple Chiness State-sponsored Groups : https://www.recordedfuture.com/research/attributing-i-soon-private-contractor-linked-chinese-state-sponsored-groups

•

Hack the Real Box: APT41’s New Subgroup Earth Longzhid : https://www.trendmicro.com/en_us/research/22/k/hack-the-real-box-apt41-new-subgroup-earth-longzhi.html

•

A comprehensive analysis of I-Soon’s commercial offering : https://harfanglab.io/insidethelab/isoon-leak-analysis/

•

Probing Weaponized Chat Applications Abused in Supply-Chain Attacks : https://www.trendmicro.com/en_us/research/22/l/probing-weaponized-chat-applications-abused-in-supply-chain-atta.html

•

Natto Thoughts, Who Has the Best Scanning Tools in China? : https://nattothoughts.substack.com/p/who-has-the-best-scanning-tools-in?ref=internet2-0.com

•

Hack the Real Box: APT41’s New Subgroup Earth Longzhi : https://www.trendmicro.com/en_us/research/22/k/hack-the-real-box-apt41-new-subgroup-earth-longzhi.html

 IGLOO Corp. 2025. All rights reserved.