TAMECAT 백도어

이란 국가 지원 조직인 APT42와 관련된 첩보 활동이 잇따라 발생하면서 분석가들은 이란 혁명수비대(IRGC)의 이익과 연계된 개인 및 조직을 겨냥한 집중적인 노력을 관찰하고 있습니다. 2025년 9월 초 탐지되어 코드명 스피어스펙터(SpearSpecter)로 지정된 이 작전은 정보 수집을 목표로 한 사회 공학과 맞춤형 악성코드 배포가 정교하게 결합된 양상을 보여줍니다.

확대된 타겟팅 전략

이 캠페인의 배후에 있는 조직원들은 고위 정부 및 국방부 관계자들을 직접 겨냥하여 고도로 개인화된 접근 방식을 통해 그들의 참여를 유도해 왔습니다. 유명 컨퍼런스 초대와 영향력 있는 회의 제안은 흔한 미끼입니다. 이러한 활동의 가장 큰 특징은 피해자의 범위를 가족 구성원까지 확대하고, 압력을 가중시키며, 주요 표적을 중심으로 공격 범위를 확대한다는 것입니다.

APT42의 기원과 진화

APT42는 연구원들이 IRGC 관련 여러 조직과 연관 지은 직후인 2022년 말 공개 보고되었습니다. 여기에는 APT35, Charming Kitten, ITG18, Mint Sandstorm, TA453 등 잘 알려진 조직들이 포함됩니다. 이 조직의 특징은 신뢰할 수 있는 연락처를 사칭하여 유해한 페이로드나 악성 링크를 전송하기 전에 신뢰를 얻기 위해 수 주 동안 지속되는 장기간의 소셜 엔지니어링 작전을 수행하는 능력입니다.

2025년 6월 초, 전문가들은 이스라엘 사이버 보안 및 기술 전문가를 표적으로 삼은 또 다른 대규모 캠페인을 발견했습니다. 당시 공격자들은 이메일과 WhatsApp 통신에서 임원과 연구원을 사칭했습니다. 6월 활동과 SpearSpecter는 서로 관련이 있지만, APT42의 두 가지 내부 클러스터에서 비롯되었습니다. 클러스터 B는 신원 정보 유출에, 클러스터 D는 악성코드 기반 침입에 집중되어 있습니다.

개인화된 기만 전술

SpearSpecter의 핵심은 대상의 가치와 운영자의 목표를 중심으로 설계된 유연한 공격 방법입니다. 일부 피해자는 자격 증명을 수집하도록 설계된 위조된 회의 포털로 리디렉션됩니다. 다른 피해자는 TAMECAT이라는 지속적인 PowerShell 백도어를 제공하는 더욱 침투적인 접근 방식에 직면하게 되는데, 이는 해당 그룹이 최근 몇 년 동안 반복적으로 사용한 도구입니다.

일반적인 공격 체인은 WhatsApp에서의 사칭으로 시작됩니다. 공격자는 다가오는 계약에 필요한 문서라고 주장하는 악성 링크를 전달합니다. 링크를 클릭하면 리디렉션 시퀀스가 트리거되어 PDF로 위장한 WebDAV 호스팅 LNK 파일이 전송되고, search-ms: 프로토콜 핸들러를 활용하여 피해자를 속입니다.

TAMECAT 백도어: 모듈식, 지속적, 적응적

LNK 파일이 실행되면 공격자가 운영하는 Cloudflare Workers 하위 도메인에 연결하여 TAMECAT을 활성화하는 배치 스크립트를 가져옵니다. 이 PowerShell 기반 프레임워크는 모듈식 구성 요소를 사용하여 유출, 감시 및 원격 관리를 지원합니다. 명령 및 제어(C2) 채널은 HTTPS, Discord, Telegram을 포괄하여 하나의 채널이 차단되더라도 복원력을 보장합니다.

텔레그램 기반 작전의 경우, TAMECAT은 공격자가 제어하는 봇이 전달한 PowerShell 코드를 검색하고 실행합니다. 디스코드 기반 C2는 시스템 정보를 전송하고 미리 정의된 채널에서 명령을 수신하는 웹훅을 활용합니다. 분석 결과, 감염된 호스트별로 명령을 사용자 정의하여 공유 인프라를 통해 여러 대상에 대한 공동 활동을 가능하게 할 수 있는 것으로 나타났습니다.

심층적인 간첩 활동을 지원하는 기능

TAMECAT은 광범위한 정보 수집 기능을 제공합니다. 그중 일부는 다음과 같습니다.

• 데이터 수집 및 추출
• 지정된 확장자를 가진 파일 수집
• Google Chrome, Microsoft Edge 및 Outlook 사서함에서 데이터 추출
• 15초마다 연속 스크린샷 캡처 수행
• HTTPS 또는 FTP를 통해 수집된 정보 유출
• 은밀성 및 회피 대책
• 원격 측정 및 페이로드 암호화
• PowerShell 소스 코드 난독화
• 악의적인 동작과 정상적인 시스템 동작을 혼합하기 위해 자급자족 방식의 이진법을 사용합니다.
• 디스크 아티팩트를 최소화하기 위해 주로 메모리에서 실행

회복성이 뛰어나고 위장된 인프라

SpearSpecter를 지원하는 인프라는 공격자가 제어하는 시스템과 합법적인 클라우드 서비스를 결합하여 악의적인 활동을 은폐합니다. 이러한 하이브리드 접근 방식은 원활한 초기 침투, 지속적인 C2 통신, 그리고 은밀한 데이터 추출을 가능하게 합니다. 이러한 운영 설계는 최소한의 노출을 유지하면서 고부가가치 네트워크에 장기 침투하려는 위협 행위자의 의도를 반영합니다.

결론

스피어스펙터 캠페인은 APT42가 장기적인 사회 공학, 적응형 악성코드, 그리고 강력한 인프라를 결합하여 정보 수집 목표를 달성하고자 끊임없이 정교하게 스파이 활동을 수행하고 있음을 보여줍니다. 지속적이고 고도로 표적화된 이 캠페인의 특성은 공무원, 국방부 요원, 그리고 관련자들을 지속적인 위험에 노출시키며, 모든 통신 채널에 걸쳐 경계를 강화하고 강력한 보안 체계를 구축해야 할 필요성을 더욱 강조합니다.