KadNap Malware

사이버 보안 연구원들은 주로 Asus 라우터를 표적으로 삼아 악성 인터넷 트래픽을 프록시하는 봇넷에 편입시키는 KadNap이라는 새로운 악성코드 변종을 발견했습니다. 2025년 8월에 처음 발견된 이 악성코드는 이미 전 세계적으로 14,000대 이상의 기기를 감염시켰습니다. 분석 결과, 감염된 시스템의 60% 이상이 미국에 있으며, 대만, 홍콩, 러시아, 영국, 호주, 브라질, 프랑스, 이탈리아, 스페인에서도 소규모 감염 사례가 확인되었습니다.

Asus 라우터가 주요 공격 대상인 것으로 보이지만, 조사 결과 KadNap 운영자들이 더 광범위한 엣지 네트워킹 장치까지 공격 대상에 포함시키고 있는 것으로 나타났습니다. 이러한 확장은 봇넷 인프라의 규모와 복원력을 극대화하려는 의도적인 시도임을 시사합니다.

Kademlia 기술을 통한 P2P 은폐

KadNap 운영의 핵심 특징은 Kademlia 분산 해시 테이블(DHT) 프로토콜의 변형된 구현에 의존한다는 점입니다. 이 프로토콜은 P2P 아키텍처에 통합되어 분산 노드 내에 명령 시스템을 숨김으로써 봇넷 인프라의 위치를 은폐합니다.

감염된 기기는 DHT 네트워크를 통해 통신하여 명령 및 제어(C2) 서버를 검색하고 연결합니다. 분산된 환경 전반에 걸쳐 통신을 분산시킴으로써, 악성코드는 단일 인프라 지점에 의존하지 않게 되어 기존의 탐지 및 제거 노력을 크게 어렵게 만듭니다. 이러한 접근 방식은 악성 트래픽을 정상적인 P2P 네트워크 활동에 효과적으로 섞어 넣어 방어자가 모니터링하고 차단하는 것을 상당히 어렵게 합니다.

감염 메커니즘 및 지속 전략

감염 경로는 IP 주소 212.104.141.140에서 호스팅되는 명령 서버에서 다운로드되는 aic.sh라는 셸 스크립트로 시작됩니다. 이 스크립트는 감염된 장치를 봇넷의 P2P 생태계에 통합하는 과정을 시작합니다.

해당 스크립트는 매시간 55분에 동일한 스크립트를 다운로드하는 cron 작업을 예약 실행하여 지속적인 접근 권한을 확보합니다. 다운로드될 때마다 스크립트 파일 이름은 '.asusrouter'로 변경되고 실행됩니다. 지속적인 접근 권한이 확보되면 스크립트는 악성 ELF 바이너리를 다운로드하고 파일 이름을 'kad'로 변경한 후 실행하여 KadNap 멀웨어 페이로드를 배포합니다. 이 멀웨어는 ARM 및 MIPS 프로세서를 사용하는 장치 모두에서 작동하도록 설계되어 다양한 라우터 아키텍처를 공격할 수 있습니다.

시간 기반 피어 검색 및 네트워크 조정

KadNap은 분산 네트워크 전반에 걸쳐 활동을 동기화하는 메커니즘을 포함하고 있습니다. 이 악성 프로그램은 네트워크 시간 프로토콜(NTP) 서버에 연결하여 현재 시스템 시간을 가져오고 감염된 장치의 가동 시간 정보와 결합합니다. 이러한 값들을 사용하여 감염된 장치가 분산 네트워크 내에서 피어를 찾을 수 있도록 하는 해시값을 생성합니다.

이 프로세스를 통해 손상된 시스템은 중앙 집중식 명령 구조에 의존하지 않고 다른 노드를 검색하고, 지침을 얻고, 추가 악성 파일을 다운로드할 수 있습니다. fwr.sh 및 /tmp/.sose와 같은 지원 스크립트는 또한 Secure Shell(SSH)에서 사용하는 표준 TCP 포트인 22번 포트를 비활성화하고, 추가 통신에 사용되는 C2 서버 주소 및 포트 조합 목록을 추출하는 등의 추가 작업을 수행합니다.

프록시 서비스를 통한 봇넷의 상업화

라우터가 해킹당하면 doppelganger.shop 웹사이트를 통해 Doppelgänger라는 이름으로 판매되는 상업용 프록시 네트워크에 통합됩니다. 보안 연구원들은 이 서비스가 이전에 TheMoon 멀웨어와 연관된 프록시 플랫폼인 Faceless의 리브랜딩 버전이라고 평가합니다.

해당 서비스에서 공개한 홍보 자료에 따르면, 이 네트워크는 50개국 이상에서 주거용 프록시 접속을 제공하며 사용자에게 '100% 익명성'을 보장한다고 광고합니다. 여러 정황으로 미루어 볼 때 이 플랫폼은 2025년 5월 또는 6월경에 출시된 것으로 추정됩니다. 이 인프라는 감염된 기기를 유형 및 모델별로 분류하는데, 모든 감염된 기기가 모든 명령 서버와 통신하는 것은 아니기 때문입니다. 이러한 분류 방식은 체계적이고 확장 가능한 봇넷 관리 전략을 보여줍니다.

프록시 네트워크는 이미 여러 위협 행위자에 의해 악용되고 있는 것으로 확인되었습니다. 그러나 네트워크에 관련된 라우터들이 여러 악성코드 계열에 동시에 감염되는 경우가 있어 특정 악성 행위의 배후를 특정하기 어렵기 때문에 공격자를 정확히 파악하는 것이 여전히 어렵습니다.

라우터 소유자를 위한 방어 조치

KadNap의 등장은 가정 및 소규모 사무실 환경 모두에서 보안이 취약한 엣지 디바이스로 인해 발생하는 위험이 증가하고 있음을 보여줍니다. 네트워크 보안 담당자와 개별 사용자는 다음과 같은 몇 가지 보안 관행을 채택함으로써 위험 노출을 크게 줄일 수 있습니다.

• 라우터 및 네트워크 장치를 최신 펌웨어와 보안 업데이트로 유지 관리하십시오.
• 필요한 경우, 악성 프로세스가 일시적으로 종료되도록 기기를 주기적으로 재부팅하십시오.
• 기본 자격 증명을 강력하고 고유한 암호로 교체하십시오.
• 관리자 인터페이스를 제한하고 보안을 강화합니다.
• 수명이 다했거나 더 이상 공급업체의 보안 업데이트를 받지 못하는 라우터는 폐기하고 새 라우터로 교체하십시오.

은밀한 활동을 위해 설계된 분산형 봇넷

KadNap은 익명 프록시 서비스를 지원하는 기존의 많은 봇넷과 달리 분산형 P2P 아키텍처를 사용한다는 점에서 차별화됩니다. Kademlia DHT 프로토콜을 활용하여, 이 봇넷은 쉽게 식별 가능한 중앙 서버에 의존하는 대신 감염된 기기 전체에 제어 권한을 분산시킵니다.

이 아키텍처는 운영자에게 탐지, 차단 또는 해체가 훨씬 더 어려운 강력한 통신 채널을 제공합니다. 전략적 목표는 명확합니다. 운영 연속성을 유지하고, 보안 모니터링을 회피하며, 사이버 보안 팀의 방어 대응 노력을 복잡하게 만드는 것입니다.