UNC3886 사이버 스파이 그룹

중국과 연계된 사이버 스파이 단체 UNC3886은 수명이 다한 MX 라우터를 적극적으로 표적으로 삼아 맞춤형 백도어를 배포하고 있습니다. 이 캠페인은 능동 및 수동 기능을 모두 갖춘 백도어를 활용하여 내부 네트워킹 인프라에 침투할 수 있는 능력을 강조합니다. 일부 변종에는 로깅 메커니즘을 끄도록 설계된 내장 스크립트가 포함되어 있어 공격자가 감지되지 않고 작동할 수 있습니다.

진화하는 위협 그룹

UNC3886은 Fortinet, Ivanti, VMware 기기의 제로데이 취약성을 활용해 네트워크를 침해하고 장기적 지속성을 구축한 전력이 있습니다. 이 최신 작전은 보안 모니터링이 부족한 네트워킹 하드웨어에 초점을 맞춘 기술의 진화를 나타냅니다.

UNC3886은 2022년 9월 처음으로 문서화된 활동 이후 미국과 아시아의 방위, 기술, 통신 분야를 목표로 에지 장치와 가상화 기술을 타겟팅하는 데 높은 능력을 보여주었습니다.

라우팅 장치가 필요한 이유는?

스파이 중심의 적대 세력은 최근 라우팅 장치를 손상시키는 방향으로 전환했습니다. 공격자는 중요한 인프라를 제어함으로써 장기간의 접근을 유지하는 동시에 미래에 파괴적인 활동을 수행할 가능성도 있습니다.

TinyShell 연결: 선택의 무기

2024년 중반에 감지된 최신 활동은 Liminal Panda와 Velvet Ant와 같은 중국 해킹 그룹이 선호하는 가벼운 C 기반 백도어인 TinyShell을 기반으로 하는 임플란트와 관련이 있습니다. TinyShell의 오픈 소스 특성은 실용적인 선택으로, 귀속을 복잡하게 만들면서도 사용자 정의가 용이합니다.

보안 연구원들은 TinyShell을 기반으로 하는 6개의 고유한 백도어를 식별했으며 각각 고유한 기능을 가지고 있습니다.

• appid(A Poorly Plagiarized Implant Daemon) – 파일 전송, 대화형 셸, SOCKS 프록시 및 C2 구성 변경 기능을 제공합니다.
• (TooObvious) – appid와 유사하지만 하드코딩된 C2 서버가 다릅니다.
• irad(인터넷 원격 접속 데몬) – ICMP 패킷을 통한 패킷 스니핑을 사용하여 수동 백도어 역할을 합니다.
• lmpad(로컬 메모리 패치 공격 데몬) – 프로세스 주입을 사용하여 로깅을 회피합니다.
• jdosd(Junos 서비스 거부 데몬) – 원격 셸 기능이 있는 UDP 백도어.

Junos OS 보안 보호 우회

공격자는 Junos OS의 Verified Exec(veriexec) 보호에도 불구하고 악성 코드를 실행하는 방법을 개발했습니다. 이 보호는 허가되지 않은 코드 실행을 방지하도록 설계되었습니다. 터미널 서버를 통해 특권 액세스를 얻음으로써 합법적인 프로세스에 악성 페이로드를 주입하여 감지를 피하면서 지속성을 보장합니다.

공격 무기고의 더 많은 도구

TinyShell 백도어 외에도 UNC3886은 추가 도구를 배포합니다.

• Reptile & Medusa – 은밀한 지속성을 위한 루트킷.
• PITHOOK – SSH 인증을 하이재킹하고 자격 증명을 캡처하는 데 사용됩니다.
• GHOSTTOWN – 포렌식 방지 목적으로 설계되었습니다.

Juniper 장비를 사용하는 조직에서는 이러한 위협을 완화하기 위해 장비를 최신 펌웨어 버전으로 업데이트하는 것이 좋습니다.

또 다른 공격, 또 다른 위협 요인?

흥미롭게도 J-Magic이라는 별도의 캠페인은 cd00r이라는 백도어 변형을 사용하여 엔터프라이즈급 Juniper 라우터를 표적으로 삼았습니다. 그러나 이 활동은 UNC3886의 수명이 다한 Juniper 라우터 표적으로 삼은 것과는 알려진 관련이 없는, 중국과 관련된 다른 그룹인 UNC4841에 기인합니다.

지속성을 위해 CVE-2025-21590 활용

Juniper Networks는 최근 감염이 최소한 하나의 취약점인 CVE-2025-21590(CVSS v4 점수: 6.7)을 악용했다고 확인했습니다. Junos OS 커널에서 발견된 이 결함은 권한이 높은 공격자가 임의의 코드를 삽입하여 궁극적으로 장치 무결성을 손상시킬 수 있습니다.

패치는 Junos OS 버전 21.2R3-S9, 21.4R3-S10, 22.2R3-S6, 22.4R3-S6, 23.2R2-S3, 23.4R2-S4, 24.2R1-S2, 24.2R2, 24.4R1에서 릴리스되었습니다. 조직은 이러한 업데이트된 버전을 실행하고 있는지 확인해야 합니다.

UNC3886: 은밀함과 끈기의 달인

UNC3886의 고급 시스템 내부 전문성은 수동 백도어, 로그 변조 및 포렌식 회피의 전략적 사용에서 분명하게 드러납니다. 주요 목표는 탐지 위험을 최소화하면서 장기적인 지속성을 유지하는 것이며, 이는 지속적이고 중대한 사이버 보안 과제를 제기합니다.