SloppyMIO Backdoor

이란 국가 이익과 연계된 것으로 평가되는 페르시아어 사용 위협 행위자가 최근 인권 침해 사례를 기록하는 비정부기구 및 개인을 표적으로 삼는 새로운 사이버 스파이 활동을 조직하고 있는 것으로 의심됩니다. 보안 연구원들은 2026년 1월에 이러한 활동을 포착하고 '레드키튼(RedKitten)'이라는 코드명을 부여했습니다.

정치적 맥락과 타겟팅 전략

이 작전은 2025년 말 급격한 인플레이션, 식량 가격 상승, 그리고 심각한 통화 가치 하락으로 촉발된 이란의 광범위한 사회 불안과 밀접하게 연관되어 있습니다. 이후 정부의 강경 진압으로 상당한 사상자가 발생하고 인터넷 접속이 장기간 차단된 것으로 알려져 있습니다. 이 작전은 실종되거나 사망한 시위대에 대한 정보를 찾는 사람들을 노려, 심리적 불안감을 자극하고 정보 검색의 긴급성을 높여 의심을 줄이도록 설계된 것으로 보입니다.

초기 감염 벡터 및 LLM 기반 개발

침입 과정은 페르시아어 파일명을 가진 7-Zip 압축 파일로 시작됩니다. 이 압축 파일 안에는 악성 매크로가 포함된 Microsoft Excel 스프레드시트가 들어 있습니다. 이 XLSM 파일은 2025년 12월 22일부터 2026년 1월 20일 사이에 테헤란에서 사망한 시위대 명단을 담고 있는 것처럼 보이지만, 나이와 생년월일이 일치하지 않는 등의 불일치로 인해 데이터가 조작된 것으로 추정됩니다. 매크로가 활성화되면 VBA 기반 드로퍼가 AppDomainManager 인젝션을 이용하여 'AppVStreamingUX_Multi_User.dll'이라는 C# 임플란트를 배포합니다.

코드 분석 결과, 매크로의 구조, 명명 규칙, 그리고 자동화된 또는 지시적인 안내 메시지와 유사한 주석이 포함된 점을 고려할 때, 개발 과정에서 대규모 언어 모델이 사용되었을 가능성이 높습니다.

SloppyMIO 백도어 아키텍처 및 기능

SloppyMIO로 추적되는 이 악성 백도어는 합법적인 클라우드 및 협업 플랫폼을 광범위하게 이용합니다. GitHub는 스테가노그래피를 통해 설정 데이터를 숨긴 이미지가 저장된 Google Drive URL을 얻기 위한 데드 드롭 리졸버로 사용됩니다. 추출된 설정에는 Telegram 봇 자격 증명, 채팅 식별자 및 추가 페이로드 링크가 포함됩니다.

SloppyMIO는 명령 실행, 파일 수집 및 유출, 페이로드 배포, 예약된 작업을 통한 지속성 유지, 프로세스 실행 등을 가능하게 하는 여러 기능 모듈을 지원합니다. 이 악성코드는 필요에 따라 이러한 모듈을 다운로드, 캐시 및 실행할 수 있어 공격자가 감염된 시스템을 광범위하게 제어할 수 있도록 합니다.

지원되는 기능 모듈은 다음과 같습니다.

• 윈도우 명령 인터프리터를 통한 명령 실행
• 텔레그램 API 제한에 맞춰 파일 수집 및 ZIP 기반 유출을 허용합니다.
• 이미지로 인코딩된 페이로드를 사용하여 로컬 애플리케이션 데이터 디렉터리에 파일을 쓰는 방법

• 반복 실행을 위한 예약 작업 생성

• 임의 프로세스 개시

• 텔레그램을 통한 명령 및 제어

모듈형 페이로드 전달 외에도 SloppyMIO는 텔레그램 봇 API를 사용하여 운영자와 지속적인 통신을 유지합니다. 임플란트 비콘은 시스템 상태를 알리고, 지침을 확인하며, 수집된 데이터를 텔레그램 채팅을 통해 전송하는 한편, 별도의 명령 및 제어 엔드포인트에서 직접 작업을 지시하는 것도 지원합니다.

관찰된 운영자 명령은 다음과 같습니다.

• 파일 수집 및 유출 트리거링
• 임의의 셸 명령 실행
• 지정된 애플리케이션 또는 프로세스 실행

귀속 및 역사적 유사점

이란 연계 공격자들의 소행으로 추정되는 공격은 페르시아어 자료, 국내 불안과 연관된 유인 메시지, 이전 공격과의 전술적 유사성 등 여러 지표를 기반으로 합니다. 특히, 악성 엑셀 파일과 AppDomainManager 주입을 악용했던 Tortoiseshell 소행으로 추정되는 공격, 그리고 GitHub를 이용해 Drokbk 백도어를 배포했던 Nemesis Kitten 하위 클러스터와 연관된 2022년 공격과 유사점이 있습니다. 인공지능 기반 도구의 사용이 증가함에 따라 공격자 구분과 소행성 추정의 정확도가 더욱 떨어지고 있습니다.

병행 피싱 공격 및 광범위한 영향

별도로, 수사관들은 DuckDNS 도메인에 호스팅된 위조된 WhatsApp 웹 인터페이스를 사용하는 WhatsApp을 통한 피싱 캠페인을 공개했습니다. 해당 페이지는 공격자가 제어하는 엔드포인트를 지속적으로 확인하여 공격자의 WhatsApp 웹 세션에 연결된 QR 코드를 표시합니다. 피해자는 자신도 모르게 코드를 스캔하여 공격자를 인증하고 계정에 대한 모든 접근 권한을 부여받게 됩니다. 또한 이 피싱 시스템은 카메라, 마이크 및 위치 정보 접근 권한을 브라우저에 요구하여 사실상 실시간 감시를 가능하게 합니다.

추가 조사 결과, 가짜 로그인 페이지를 통해 Gmail 계정 정보(비밀번호 및 2단계 인증 코드 포함)를 탈취하려는 관련 활동이 확인되었습니다. 쿠르드족, 학계 인사, 정부 관계자, 기업인, 유명 인사 등 약 50명이 피해를 입었습니다. 이러한 피싱 공격의 배후와 정확한 동기는 아직 확인되지 않았습니다.

작전 기법 및 방어적 함의

GitHub, Google Drive, Telegram과 같은 상용화된 플랫폼의 광범위한 사용은 기존의 인프라 기반 추적을 어렵게 할 뿐만 아니라 공격자에게 악용 가능한 메타데이터와 운영 보안 위험을 초래합니다. 위협 행위자들이 인공지능(AI)을 점점 더 많이 도입함에 따라, RedKitten과 같은 캠페인은 방어자들이 인프라 지표에만 의존하기보다는 행동 분석, 콘텐츠 검증, 사용자 인식 제고에 집중해야 할 필요성을 강조합니다.