TA416 피싱 공격

2025년 중반 이후, 중국과 연계된 위협 행위자가 유럽 정부 및 외교 기관을 집중적으로 겨냥하며 다시 활동을 시작했습니다. 이는 약 2년간 해당 지역에서 활동이 감소했던 이후 나타난 현상입니다. 이 캠페인은 TA416이라는 위협 집단의 소행으로 추정되며, 이 집단은 DarkPeony, RedDelta, Red Lich, SmugX, UNC6384, Vertigo Panda와도 연관되어 있습니다.

이번 공격은 주로 여러 국가에 걸쳐 유럽 연합 및 나토와 관련된 외교 공관을 표적으로 삼았습니다. 이러한 공격은 웹 버그 추적 및 악성코드 유포를 포함하는 조직적인 공격으로, 체계적이고 지속적인 정보 수집 활동을 시사합니다.

지정학적 긴장으로 인해 범위가 확대되고 있습니다.

TA416은 2026년 2월 미국-이스라엘-이란 갈등이 격화된 이후 유럽을 넘어 중동 지역의 정부 및 외교 기관을 대상으로 작전 범위를 확대했습니다.

이번 확장은 민감한 지역 정보를 수집하기 위한 전략적 노력의 일환이며, 해당 그룹의 목표 설정 우선순위가 변화하는 지정학적 상황과 밀접하게 연관되어 있음을 보여줍니다.

중복되는 위협 생태계 및 공유 기술

TA416은 Mustang Panda(CerenaKeeper, Red Ishtar, UNK_SteadySplit 등으로도 불림)라는 또 다른 고급 위협 클러스터와 기술적으로 상당한 유사점을 공유합니다. 두 그룹은 Earth Preta, Hive0154, HoneyMyte, Stately Taurus, Temp.HEX, Twill Typhoon과 같은 더 광범위한 분류로 추적됩니다.

TA416은 주로 맞춤형 PlugX 멀웨어 변종과 연관되어 있는 반면, Mustang Panda는 TONESHELL, PUBLOAD, COOLCLIENT와 같은 도구를 자주 배포합니다. 이러한 차이점에도 불구하고, 두 그룹 모두 핵심 실행 기법으로 DLL 사이드 로딩에 크게 의존하고 있어 공통적인 운영 방식을 보여줍니다.

적응형 감염 사슬 및 전달 기술

TA416은 감염 경로를 지속적으로 진화시켜 높은 수준의 유연성을 보여주었습니다. 여러 캠페인에서 관찰된 수법에는 Cloudflare Turnstile 인증 페이지 악용, OAuth 리디렉션 메커니즘 악용, 악성 C# 프로젝트 파일 사용 등이 포함됩니다.

해당 그룹은 무료 이메일 계정을 이용한 피싱 이메일을 통해 악성코드를 유포합니다. 이러한 이메일에는 마이크로소프트 애저 블롭 스토리지, 구글 드라이브, 공격자가 제어하는 도메인 또는 손상된 SharePoint 환경과 같은 플랫폼에 저장된 악성 아카이브 링크가 포함되는 경우가 많습니다.

핵심적인 정찰 기법 중 하나는 이메일에 삽입된 작고 보이지 않는 추적 요소인 웹 버그를 이용하는 것입니다. 이러한 버그가 실행되면 수신자의 IP 주소, 사용자 에이전트, 접속 시간과 같은 메타데이터를 노출하는 HTTP 요청이 발생하여 공격자는 수신 여부를 확인하고 타겟팅을 더욱 정교하게 다듬을 수 있습니다.

OAuth 악용 및 클라우드 기반 악성코드 유포

2025년 말, TA416 캠페인은 합법적인 Microsoft OAuth 인증 엔드포인트를 악용했습니다. 피싱 링크를 클릭한 피해자는 신뢰할 수 있는 인증 절차를 거친 후, 악성 페이로드를 호스팅하는 공격자 제어 인프라로 조용히 연결되었습니다.

2026년 초, 해당 그룹은 Google Drive와 해킹된 SharePoint 인스턴스를 통해 아카이브를 배포하는 방식으로 공격 방식을 더욱 정교하게 다듬었습니다. 이 아카이브에는 정상적인 Microsoft MSBuild 실행 파일과 악성 C# 프로젝트 파일이 함께 포함되어 있어, 기만적이지만 효과적인 실행 경로를 제공했습니다.

MSBuild 취약점을 이용한 다단계 페이로드 배포

MSBuild 유틸리티는 TA416 감염 과정에서 핵심적인 역할을 합니다. 실행되면 작업 디렉터리 내의 프로젝트 파일을 자동으로 찾아 컴파일합니다. 이러한 공격에서 악성 CSPROJ 파일은 Base64로 인코딩된 URL을 디코딩하고 추가 페이로드 구성 요소를 가져오는 다운로더 역할을 합니다.

이 과정은 DLL 사이드 로딩 패키지를 다운로드하고, 임시 디렉터리에 저장한 다음, PlugX 악성코드를 로드하는 정상 실행 파일을 실행하는 방식으로 진행됩니다. 이러한 다단계 접근 방식은 은밀성을 높이고 탐지를 어렵게 합니다.

PlugX 백도어 기능 및 지속성

PlugX는 TA416 작전의 핵심 구성 요소로, 전달 방식은 다양하지만 여러 캠페인에 걸쳐 일관되게 사용됩니다. 이 멀웨어는 명령 및 제어(C&C) 인프라와 암호화된 통신을 설정하고 실행 전에 안티 분석 검사를 수행하여 탐지를 회피합니다.

이 소프트웨어는 광범위한 시스템 제어 및 데이터 유출 기능을 제공합니다. 주요 기능은 다음과 같습니다.

• 상세 시스템 정보 수집
• 법의학적 분석을 피하기 위해 스스로 사라졌다.
• 명령 서버와의 통신 간격 수정
• 추가 페이로드 다운로드 및 실행
• 원격 제어를 위한 역방향 셸 액세스 설정

지속적인 진화와 전략적 목표 설정

TA416이 동남아시아와 몽골에 집중하다가 다시 유럽 목표물로 돌아온 것은 EU 및 NATO 관련 정보 수집에 대한 새로운 의지를 보여주는 신호입니다. 동시에 중동 지역으로의 활동 확장은 이 그룹이 세계 분쟁에 민감하게 대응하고 있음을 드러냅니다.

공격자가 가짜 인증 페이지부터 OAuth 악용, MSBuild 기반 실행에 이르기까지 다양한 기법을 반복적으로 사용하는 것은 회피 및 작전 효율성 향상에 대한 지속적인 노력을 보여줍니다. PlugX 멀웨어의 지속적인 개선은 이 멀웨어가 정교하고 적응력이 뛰어난 사이버 스파이 위협이라는 점을 더욱 강조합니다.