{ "id": "599760d8-c020-4862-aa76-71030c501d03", "created_at": "2026-04-06T00:10:10.2815Z", "updated_at": "2026-04-10T03:36:13.637597Z", "deleted_at": null, "sha1_hash": "eab263d2cfdab0601a467d8bcc1fb18ff70e0733", "title": "중국 기반 해커, 국내 에너지 기관 공격", "llm_title": "", "authors": "", "file_creation_date": "0001-01-01T00:00:00Z", "file_modification_date": "0001-01-01T00:00:00Z", "file_size": 321670, "plain_text": "중국 기반 해커, 국내 에너지 기관 공격\r\nPublished: 2019-04-25 · Archived: 2026-04-05 16:44:41 UTC\r\n파이어아이 “한국·일본 타깃 중국 기반 해킹조직, 국내 에너지 시설 공격한 증거 발견”\r\n중국 기반 사이버 범죄조직이 국내 에너지 기업을 공격한 사실이 드러났다. 파이어아이가 공개한 보고서\r\n에 따르면 최근 국내 에너지 분야 기업 네트워크에서 멀웨어가 발견됐으며, 이는 중국 정부가 후원하는 것\r\n으로 의심되는 사이버 범죄 조직과 연관 있는 것으로 분석됐다.\r\n이 공격그룹은 한국과 일본의 주요 기관을 공격해왔으며, 우리나라 에너지 산업 관련 기업을 노린 공격이\r\n발견된 것은 이번이 처음이다. 다만 최초 감염 요소는 무엇인지 알려지지 않았다.\r\n러시아·일본·한국 군사 조직 노리는 공격자\r\n파이어아이가 국내 에너지 관련 기업에서 발견한 멀웨어는 캄손(CALMTHORN)과 고스트(GH0ST)다. 캄\r\n손은 TCP로 통신하는 비컨 백도어로, 파일 업로드, 리버스 쉘, 프록시 트래픽, 시스템 정보 수집 등의 명령\r\n을 지원한다. 고스트는 인터넷에 공개돼 있는 소스코드에서 유래한 원격 접속 해킹 도구(RAT)로, 공격자\r\n가 스크린과 오디오 캡처, 웹캠 작동, 프로세스 리스팅·종료, 명령쉘 열기, 이벤트 로그 삭제, 파일의 생성\r\n조작, 삭제, 실행, 전송 등의 기능을 활용할 수 있다.\r\n캄손과 고스트는 중국 연계된 사이버 첩보 활동 단체인 톤토팀(Tonto Team)과 연관 있는 멀웨어다. 톤토팀\r\n은 2012년 혹은 이전부터 활동하고 있으며, 러시아, 일본, 한국의 군사·보안 관련 조직을 대상으로 공격을\r\n수행하고 있다.\r\n파이어아이는 톤토팀이 해킹그룹 탬프틱(TEMP.Tick)과 연관있을 것으로 보고 있다. 탬프틱은 중국 반체\r\n제 조직에 대한 모니터링 작업을 수행하는 집단으로, 중국 정부가 지원하는 해킹그룹으로 의심된다. 2009\r\n년 혹은 그 이전부터 활동한 것으로 알려지며, 중국 반체제 조직 뿐 아니라 한국, 일본의 국방, 중공업, 항\r\n공우주, 기술, 은행, 헬스케어, 자동차, 미디어 산업을 주로 공격한다.\r\n캄손, 고스트, 톤토팀, 탬프틱의 연관성을 드러내는 증거로, 파이어아이는 이들의 공격 목표가 동일하다는\r\n것을 든다. 톤토팀과 탬프틱은 우리나라와 일본의 주요시설을 노리고 있다. 또한 이들이 특정 레벨에서 리\r\n소스를 공유하고 있는 정황도 발견했다. 톤토팀의 이전 공격 사례에서 캄손과 고스트를 사용했던 것을 보\r\n아 이번 국내 에너지 기관 공격도 톤토팀의 소행으로 의심된다.\r\nhttps://www.datanet.co.kr/news/articleView.html?idxno=133346\r\nPage 1 of 3\n\n▲중국 기반 해킹 조직의 한국 에너지 기업 공격 사례\r\n동일한 공격도구 반복 사용하는 공격자\r\n톤토팀과 탬프틱의 연관성은 지난해 9월 발견된 아이앰킹(IAMKING) 멀웨어 샘플을 통해 증명됐다. 아이\r\n앰킹은 파일 작성, 쉘 접근 확보, 폴더 및 파일 열기, 프로세스 실행, 피해자 데이터 수집 등이 가능한 백도\r\n어 프로그램이다. 파이어아이는 아이앰킹이 톤토팀과 탬프틱 전용 툴이라고 판단하고 있다. 톤토팀과 탬\r\n프틱은 둘 다 명령 및 제어를 위해 동일 IP 주소를 사용했다.\r\n아이앰킹은 하드코딩한 사용자 에이전트 문자열이 포함된 HTTP 기반의 드롭퍼 하드시멘트\r\n(HARDCEMENT) 다운로더와 동일 서버에 호스팅됐다. 하드시멘트는 탬프틱이 국내 포털사이트 다음의\r\n도메인으로 위장해 공격할 때 사용한 것이다.\r\n하드시멘트는 멀웨어 컴파일 시간이 지나고 몇 달 후 도메인 이름풀이(Domain resolution) 방법이 변경되었\r\n는데, 이는 탬프틱이 네트워크 사인을 변형하는 조치를 취하거나 업스트림 서비스 제공 업체가 명령 및 제\r\n어 통신을 원활하지 못하게 막는 조치를 취한다는 의미일 수 있다.\r\n도메인 중 두 개에서 동적 DNS를 사용하므로 업스트림 업체가 이를 변경하기는 어렵기 때문에 후자의 경\r\n우일 가능성은 상대적으로 낮다. 만약 탬프틱이 변경하고 있는 것이라면, 이는 템프틱과 톤토팀이 연관되\r\n어 있다는 추가적인 증거가 될 것이다.\r\n“공격조직 개편으로 우리나라, 더 큰 위협 직면”\r\n파이어아이는 “오바마 미국 전 대통령과 시진핑 중국 국가주석이 체결한 사이버 첩보활동 금지·합의 후\r\n사이버 범죄 시장에서 조직개편이 일어났으며, 톤토팀의 사명과 구조에 변화가 있었을 것”이라며 “그들은\r\n툴과 인프라 등의 자산을 통합하고, 중앙 배포 센터를 구축해 더 능숙하게 공격하고 있다. 이는 해당 지역\r\n에 더 큰 위협이 될 수 있다”고 설명했다 \r\nhttps://www.datanet.co.kr/news/articleView.html?idxno=133346\r\nPage 2 of 3\n\n저작권자 © 데이터넷 무단전재 및 재배포 금지\r\nSource: https://www.datanet.co.kr/news/articleView.html?idxno=133346\r\nhttps://www.datanet.co.kr/news/articleView.html?idxno=133346\r\nPage 3 of 3", "extraction_quality": 1, "language": "KO", "sources": [ "Malpedia" ], "references": [ "https://www.datanet.co.kr/news/articleView.html?idxno=133346" ], "report_names": [ "articleView.html?idxno=133346" ], "threat_actors": [ { "id": "f8dddd06-da24-4184-9e24-4c22bdd1cbbf", "created_at": "2023-01-06T13:46:38.626906Z", "updated_at": "2026-04-10T02:00:03.043681Z", "deleted_at": null, "main_name": "Tick", "aliases": [ "G0060", "Stalker Taurus", "PLA Unit 61419", "Swirl Typhoon", "Nian", "BRONZE BUTLER", "REDBALDKNIGHT", "STALKER PANDA" ], "source_name": "MISPGALAXY:Tick", "tools": [], "source_id": "MISPGALAXY", "reports": null }, { "id": "58db0213-4872-41fe-8a76-a7014d816c73", "created_at": "2023-01-06T13:46:38.61757Z", "updated_at": "2026-04-10T02:00:03.040816Z", "deleted_at": null, "main_name": "Tonto Team", "aliases": [ "G0131", "PLA Unit 65017", "Earth Akhlut", "TAG-74", "CactusPete", "KARMA PANDA", "BRONZE HUNTLEY", "Red Beifang" ], "source_name": "MISPGALAXY:Tonto Team", "tools": [], "source_id": "MISPGALAXY", "reports": null }, { "id": "da483338-e479-4d74-a6dd-1fb09343fd07", "created_at": "2022-10-25T15:50:23.698197Z", "updated_at": "2026-04-10T02:00:05.355597Z", "deleted_at": null, "main_name": "Tonto Team", "aliases": [ "Tonto Team", "Earth Akhlut", "BRONZE HUNTLEY", "CactusPete", "Karma Panda" ], "source_name": "MITRE:Tonto Team", "tools": [ "Mimikatz", "Bisonal", "ShadowPad", "LaZagne", "NBTscan", "gsecdump" ], "source_id": "MITRE", "reports": null }, { "id": "17d16126-35d7-4c59-88a5-0b48e755e80f", "created_at": "2025-08-07T02:03:24.622109Z", "updated_at": "2026-04-10T02:00:03.726126Z", "deleted_at": null, "main_name": "BRONZE HUNTLEY", "aliases": [ "CactusPete ", "Earth Akhlut ", "Karma Panda ", "Red Beifang", "Tonto Team" ], "source_name": "Secureworks:BRONZE HUNTLEY", "tools": [ "Bisonal", "RatN", "Royal Road", "ShadowPad" ], "source_id": "Secureworks", "reports": null }, { "id": "c39b0fe6-5642-4717-9a05-9e94265e3e3a", "created_at": "2022-10-25T16:07:24.332084Z", "updated_at": "2026-04-10T02:00:04.940672Z", "deleted_at": null, "main_name": "Tonto Team", "aliases": [ "Bronze Huntley", "CactusPete", "Earth Akhlut", "G0131", "HartBeat", "Karma Panda", "LoneRanger", "Operation Bitter Biscuit", "TAG-74", "Tonto Team" ], "source_name": "ETDA:Tonto Team", "tools": [ "8.t Dropper", "8.t RTF exploit builder", "8t_dropper", "Bioazih", "Bisonal", "CONIME", "Dexbia", "Korlia", "LOLBAS", "LOLBins", "Living off the Land", "Mimikatz", "POISONPLUG.SHADOW", "RoyalRoad", "ShadowPad Winnti", "XShellGhost" ], "source_id": "ETDA", "reports": null }, { "id": "54e55585-1025-49d2-9de8-90fc7a631f45", "created_at": "2025-08-07T02:03:24.563488Z", "updated_at": "2026-04-10T02:00:03.715427Z", "deleted_at": null, "main_name": "BRONZE BUTLER", "aliases": [ "CTG-2006 ", "Daserf", "Stalker Panda ", "Swirl Typhoon ", "Tick " ], "source_name": "Secureworks:BRONZE BUTLER", "tools": [ "ABK", "BBK", "Casper", "DGet", "Daserf", "Datper", "Ghostdown", "Gofarer", "MSGet", "Mimikatz", "Netboy", "RarStar", "Screen Capture Tool", "ShadowPad", "ShadowPy", "T-SMB", "down_new", "gsecdump" ], "source_id": "Secureworks", "reports": null }, { "id": "d4e7cd9a-2290-4f89-a645-85b9a46d004b", "created_at": "2022-10-25T16:07:23.419513Z", "updated_at": "2026-04-10T02:00:04.591062Z", "deleted_at": null, "main_name": "Bronze Butler", "aliases": [ "Bronze Butler", "CTG-2006", "G0060", "Operation ENDTRADE", "RedBaldNight", "Stalker Panda", "Stalker Taurus", "Swirl Typhoon", "TEMP.Tick", "Tick" ], "source_name": "ETDA:Bronze Butler", "tools": [ "8.t Dropper", "8.t RTF exploit builder", "8t_dropper", "9002 RAT", "AngryRebel", "Blogspot", "Daserf", "Datper", "Elirks", "Farfli", "Gh0st RAT", "Ghost RAT", "HOMEUNIX", "HidraQ", "HomamDownloader", "Homux", "Hydraq", "Lilith", "Lilith RAT", "McRAT", "MdmBot", "Mimikatz", "Minzen", "Moudour", "Muirim", "Mydoor", "Nioupale", "PCRat", "POISONPLUG.SHADOW", "Roarur", "RoyalRoad", "ShadowPad Winnti", "ShadowWali", "ShadowWalker", "SymonLoader", "WCE", "Wali", "Windows Credential Editor", "Windows Credentials Editor", "XShellGhost", "XXMM", "gsecdump", "rarstar" ], "source_id": "ETDA", "reports": null } ], "ts_created_at": 1775434210, "ts_updated_at": 1775792173, "ts_creation_date": 0, "ts_modification_date": 0, "files": { "pdf": "https://archive.orkl.eu/eab263d2cfdab0601a467d8bcc1fb18ff70e0733.pdf", "text": "https://archive.orkl.eu/eab263d2cfdab0601a467d8bcc1fb18ff70e0733.txt", "img": "https://archive.orkl.eu/eab263d2cfdab0601a467d8bcc1fb18ff70e0733.jpg" } }