PLUGGYAPE Malware

우크라이나 사이버비상대응팀(CERT-UA)은 국가 방위 관련 기관을 겨냥한 새로운 사이버 공격이 발생했다고 밝혔습니다. 2025년 10월부터 12월 사이에 발생한 이 공격들은 이전에 보고된 적 없는 'PLUGGYAPE'라는 악성코드 변종을 이용했습니다. 이번 공격은 우크라이나를 표적으로 삼는 사회공학적 수법과 기술적 정교함이 지속적으로 진화하고 있음을 보여줍니다.

공격자 정보 및 위협 행위자 프로필

해당 활동은 러시아와 연계된 해킹 그룹인 보이드 블리자드(Void Blizzard), 일명 런드리 베어(Laundry Bear) 또는 UAC-0190과 연관되어 있을 가능성이 높으며, 그 신빙성은 중간 정도입니다. 정보 분석에 따르면 이 그룹은 적어도 2024년 4월부터 활동해 왔으며, 최근 활동 내역을 보면 군사 및 국방 관련 분야에 집중적인 관심을 보이고 있습니다.

초기 접근의 핵심은 사회 공학입니다.

감염 경로는 악성코드 공격이 아니라 기만 행위에서 시작됩니다. 공격자들은 시그널(Signal)이나 왓츠앱(WhatsApp)과 같이 널리 사용되는 인스턴트 메시징 플랫폼을 통해 접근합니다. 자선 단체를 사칭하여 피해자들이 harthulp-ua.com이나 solidarity-help.org와 같은 가짜 인도주의 웹사이트 링크를 클릭하도록 유도합니다. 이러한 사이트들은 합법적인 재단을 가장하고 있으며, 악성 페이로드가 포함된 비밀번호로 보호된 압축 파일을 호스팅하고 있습니다.

공격자들은 우크라이나 이동통신사와 연관된 해킹당했거나 정교하게 위조된 계정을 점점 더 많이 이용하고 있습니다. 통신은 우크라이나어로 이루어지며 음성 또는 화상 통화가 포함될 수 있습니다. 많은 경우, 공격자는 피해자의 배경, 소속 조직 및 운영 환경에 대해 매우 잘 알고 있는 듯한 모습을 보여 사회공학적 공격의 성공률을 크게 높입니다.

PLUGGYAPE 내부: 악성코드 기능 및 진화

다운로드된 압축 파일에는 PyInstaller로 빌드된 실행 파일이 포함되어 있으며, 이 파일은 PLUGGYAPE 백도어를 설치합니다. 파이썬으로 작성된 이 악성코드는 공격자가 감염된 시스템에서 원격으로 임의 코드를 실행할 수 있도록 합니다. 시간이 지남에 따라 새로운 변종들은 가상화 환경이나 연구 환경에서의 실행을 방지하기 위해 더욱 강력한 난독화 기법과 분석 방지 메커니즘을 통합해 왔습니다.

PLUGGYAPE는 WebSocket 연결을 사용하여 운영자와 통신하며, 2025년 12월부터 MQTT 프로토콜도 지원하여 유연성과 복원력을 확장했습니다. 이 통신 채널을 통해 공격자는 침해된 호스트를 지속적으로 제어하고 신속하게 작업을 수행할 수 있습니다.

지휘통제 시스템의 복원력과 운영 보안

공격자들은 악성코드에 제어 서버 주소를 직접 삽입하는 대신, rentry.co나 pastebin.com과 같은 공개 주소 공유 서비스에서 명령 및 제어(C&C) 엔드포인트를 가져옵니다. 이러한 주소는 base64로 인코딩되어 저장되므로, 공격자는 악성코드를 재배포하지 않고도 인프라를 신속하게 변경할 수 있습니다. 이러한 접근 방식은 공격자의 제거 노력을 어렵게 만들고, 알려진 서버가 발견되어 차단되더라도 운영 연속성을 유지하는 데 도움이 됩니다.

메신저 기반 위협 전달 방식으로의 광범위한 전환

CERT-UA는 모바일 기기와 개인용 컴퓨터 모두에서 널리 사용되는 메시징 애플리케이션이 사이버 위협 유포의 주요 채널로 빠르게 부상하고 있다고 강조합니다. 이러한 애플리케이션의 보편성, 사용자 신뢰도, 실시간 상호작용이 결합되어 악성 도구를 전달하고 피해자를 조종하는 데 특히 효과적인 플랫폼이 되고 있습니다.