MiniFast Backdoor
이란 혁명수비대와 연계된 것으로 알려진 님버스 맨티코어(Nimbus Manticore), 또는 스크리닝 서펜스(Screening Serpens) 및 UNC1549로도 추적되는 이 사이버 공격 그룹은 2026년 2월 미국과 이스라엘의 이란 공습 이후 미국, 유럽, 중동 지역의 기업들을 대상으로 사이버 공격을 강화했습니다. 이들은 항공 및 소프트웨어 업계 기업들을 표적으로 삼아 점점 더 정교해지는 침입 기법과 악성코드 유포 방식을 사용하고 있습니다.
보안 연구원들은 최근 공격 캠페인이 이전 활동과 구별되는 몇 가지 운영상의 변화를 확인했습니다. 이러한 변화에는 MiniFast라는 새로운 백도어의 도입, 앱 도메인 하이재킹의 확대 사용, 그리고 가짜 소프트웨어 다운로드 포털을 통해 피해자를 감염시키기 위한 SEO 포이즈닝 전략으로의 전환 등이 포함됩니다. 분석가들은 또한 인공지능 기반 개발이 악성코드 제작 속도를 높였을 가능성을 시사하는 단서들을 발견했습니다.
목차
가짜 구인 광고부터 검색 엔진 조작까지
님버스 맨티코어는 역사적으로 '이란식 꿈의 직업' 작전으로 널리 알려진 직업 관련 피싱 캠페인을 통해 국방, 항공 및 통신 분야를 표적으로 삼아 왔습니다. 이러한 전술은 북한 관련 위협 행위자들이 오랫동안 진행해 온 사회 공학적 캠페인인 '드림 잡 작전'과 매우 유사합니다.
2026년 2월부터 4월까지 해당 그룹은 중단 없이 세 차례에 걸쳐 뚜렷한 작전을 수행하며 지역 분쟁 기간 동안 공격적인 작전 속도를 보여주었습니다.
2026년 2월, 사우디아라비아와 호주의 항공 및 소프트웨어 회사 직원들이 OnlyOffice에 호스팅된 ZIP 압축 파일이 포함된 사기성 채용 제안을 받았습니다. 해당 압축 파일 안에 있는 악성 프로그램이 실행되었지만, 앱 도메인 하이재킹 공격이 발생하여 결국 MiniJunk 악성코드 DLL이 배포되었습니다.
2026년 3월, 공격자는 유사한 감염 경로를 사용했지만, 이번에는 트로이목마가 포함된 Zoom 설치 프로그램을 감염 과정에 포함시켰습니다. 이 악성코드는 가짜 회의 초대를 통해 유포되었을 가능성이 높으며, 최종적으로 새롭게 확인된 MiniFast 백도어를 설치했습니다.
2026년 4월, 님버스 맨티코어는 SEO 조작 기법을 활용하여 완전히 새로운 전략을 도입했습니다. 운영진은 오라클 SQL 개발자를 사칭하는 가짜 다운로드 페이지를 만들고, 사이트 노출도를 높이기 위해 여러 개의 보조 도메인을 등록하여 빙(Bing)과 덕덕고(DuckDuckGo)의 검색 엔진 순위를 조작했습니다.
이는 해당 그룹이 전통적인 스피어피싱 공격 방식을 버리고 검색 엔진을 이용한 악성코드 유포로 전환한 첫 번째 사례로 기록되었습니다. 공격자들은 이메일을 통해 피해자를 직접 유인하는 대신, 개발자나 IT 담당자가 온라인에서 자주 사용하는 소프트웨어를 검색할 때를 기다렸다가 감염된 설치 파일을 배포했습니다.
MiniFast 백도어 발견으로 기술적 역량 확장 실태 확인
MiniFast(MiniUpdate라고도 함)는 Nimbus Manticore의 악성코드 무기고에 있어 중대한 발전을 의미합니다. 연구원들은 이 악성코드를 지속적인 접근, 원격 명령 실행 및 장기적인 스파이 활동을 위해 설계된 완벽한 기능을 갖춘 백도어라고 설명합니다.
악성 프로그램은 명령 실행 루프에 진입하기 전에 HTTP를 통해 기본 시스템 정보를 명령 및 제어 인프라로 전송합니다. 그런 다음 지속적으로 명령어를 수신하고, 실행 결과를 업로드하고, 파일을 유출하고, 추가 페이로드를 다운로드합니다.
이 백도어는 다음과 같은 다양한 기능을 지원합니다.
- 파일 조작 및 디렉터리 열거
- PID를 통한 프로세스 목록 표시 및 강제 프로세스 종료
- cmd.exe를 통한 원격 명령 실행
- DLL 로딩 및 ZIP 아카이브 생성
- 예약된 작업을 통한 지속성
- 'runas' 명령어를 이용한 권한 상승
- 조정 가능한 비콘 간격과 설정 가능한 지터를 통해 통신을 무작위화할 수 있습니다.
연구원들은 또한 AI 기반 코딩 도구가 악성코드 개발에 기여했을 가능성을 시사하는 징후들을 발견했습니다. 그 증거로는 비정상적으로 장황한 오류 처리, 과도한 방어적 프로그래밍 논리, 반복적인 명명 규칙, 매우 상세한 디버그 스타일 상태 메시지, 그리고 이 정도 규모와 복잡성을 가진 악성코드에서는 흔하지 않은 모듈식 코드 구조 등이 있습니다.
분쟁으로 인해 사이버 작전이 더욱 빠르고 광범위하게 확대되고 있다.
사이버 보안 전문가들은 이러한 공격들이 님버스 맨티코어의 작전 방식이 크게 진화했음을 보여준다고 보고 있습니다. 이 그룹은 활발한 지정학적 분쟁 속에서도 활동 속도를 늦추기는커녕 오히려 활동 속도와 정교함을 모두 확대했습니다.
진행 중인 작전 도중에 새롭게 개발된 백도어가 신속하게 배포된 것은 인공지능 도구의 지원을 받는 등 악성코드 개발 주기가 가속화되었음을 시사합니다. 동시에, 표적 피싱에서 SEO 조작으로의 전환은 중동 지역에서의 전통적인 첩보 활동 목적의 침입을 넘어선 더 광범위한 야망을 반영합니다.
님버스 맨티코어는 피싱 공격, 앱도메인 탈취, AI 기반 악성코드 개발, 검색 엔진 조작 등을 여러 차례에 걸쳐 결합하여 지정학적 불안정 시기에 빠르게 진화할 수 있는 고도로 적응력 있는 위협 모델을 선보였습니다.
