OceanLotus로 알려진 베트남 연계 위협 행위자가 두 개의 서로 다른 공격 캠페인을 수행한 것으로 확인됐다.  해당 공격은 국내 기관과 주식 투자자를 주요 표적으로 삼았다.  이 과정에서 SPECTRALVIPER 백도어가 사용된 것으로 나타났다. 해당 캠페인은 장기간에 걸친 사이버 스파이 활동을 포함한다.  2024년 중반부터 2026년 2월까지 베트남 인프라 및 교통 건설 기업이 주요 표적이었다.  또한 FireAnt Metakit을 악용한 공급망 공격도 수행된 것으로 나타났다.  이 플랫폼은 베트남 주식 투자자들이 널리 사용하는 소프트웨어다.  두 번째 공격 활동은 2025년 10월부터 2026년 3월까지 진행된 것으로 확인됐다. 보안 연구진에 따르면 이번 공격은 운영 방식의 변화를 보여준다.  기존 외부 표적 중심에서 국내 대상 스파이 활동으로 초점이 이동한 것으로 분석된다.  해당 그룹은 2012년부터 활동해온 조직으로, 과거에는 중국을 표적으로 한 공격 이력도 있는 것으로 나타났다. 보안 회사는 "이번 변화가 일시적인 조정인지 장기적인 전략 변화인지는 아직 불확실하다"고 밝혔다.  다만 "15년 이상 활동해온 해당 APT 그룹은 여전히 공격적인 전술과 정교한 도구 활용 능력을 유지하고 있다"고 설명했다. 해당 위협 그룹은 과거 워터링 홀 공격을 활용하여 웹사이트 방문자를 디지털 프로파일링한 바 있다. 2017년과 2018년에는 언론, 인권, 시민사회 관련 수백 개 개인과 조직을 표적으로 삼았다.  또한 베트남 인권 활동가와 반정부 인사를 겨냥한 공격도 수행한 것으로 나타났다. 2020년 12월에는 OceanLotus 활동이 베트남 IT 기업 CyberOne Group과 연관된 것으로 지목된 바 있다.  해당 기업은 CyberOne Security, CyberOne Technologies, Hành Tinh Company Limited 등으로도 알려져 있다.  기업 측은 이를 부인하였으나, 공개 이후 약 3년간 활동이 중단된 것으로 나타났다. 해당 그룹이 사용하는 주요 도구로는 SOUNDBITE(Denis), PHOREAL(Rizzo), WINDSHIELD(Remy) 등이 있다.  최근에는 SPECTRALVIPER도 포함된 것으로 확인됐다.  이 악성코드는 2023년 6월 처음 보고됐으며, 당시 베트남 공기업을 대상으로 한 공격에서 다시 활동이 포착된 것으로 나타났다. 최근 보안 회사는 PyPI 저장소에서 악성 패키지 3개를 발견했다고 밝혔다.  해당 패키지는 ZiChatBot이라는 새로운 악성코드를 배포하는 데 사용된다.  이 악성코드는 Windows와 Linux 시스템을 대상으로 동작한다.  또한 해당 드로퍼는 OceanLotus가 사용한 드로퍼와 약 64% 유사성을 보이는 것으로 분석됐다. [그림 1. OceanLotus DLL 사이드로딩 기반 내부 확산 구조] 보안 연구진에 따르면 FireAnt Metakit 공급망 공격은 2025년 10월 2일경 시작된 것으로 추정된다.  해당 공격은 2026년 3월까지 지속된 것으로 나타났다.  공격자는 소프트웨어의 정상 업데이트 URL을 악용하여, 일부 주식 투자자에게만 SPECTRALVIPER를 전달한 것으로 확인됐다.  이는 보다 선택적인 공격 방식을 보여주는 사례로 분석된다. [그림 2. FireAnt 공급망 공격 및 C2 통신 흐름] FireAnt 업데이트 서버가 악성 페이로드 유포에 직접 사용된 점도 문제로 지적된다.  특히 "metakit.fireant[.]vn/Software/version.xml"에 위치한 업데이트 설정 파일에는 무결성 검증 기능이 존재하지 않는다.  이로 인해 업데이트 바이너리("setup.exe")가 변조되었는지 확인할 수 없는 구조로 나타났다. 보안 연구진은 "서명 검증 절차가 없어 Metakit.exe가 악성 다운로더를 정상 업데이트로 인식하고 실행했다"고 밝혔다.  이후 해당 다운로더는 기본적인 시스템 정보를 수집한다.  수집된 정보는 HTTP POST 요청을 통해 중간 서버로 전송된 후, 다음 단계 페이로드를 요청하는 방식으로 동작하는 것으로 나타났다. 해당 페이로드는 DLL 사이드로딩 체인을 활용한다.  정상 바이너리를 이용해 악성 DLL("DtlCrashCatch.dll")을 실행하는 구조다.  이후 해당 DLL은 OneDrive.Sync.Service.exe 프로세스에 자신을 주입한다.  이를 통해 SPECTRALVIPER 실행을 유도한 후, 백도어는 C2 서버("financemachinelearning[.]com")와 통신한다.  이 과정에서 암호화된 시스템 정보를 전송하는 것으로 나타났다. 보안 연구진은 2026년 3월 9일 이후 해당 경로를 통한 추가 악성 업데이트는 관찰되지 않았다고 밝혔다.  이는 공격자가 캠페인을 종료했을 가능성을 시사한다. OceanLotus는 2024년 11월부터 베트남 인프라 및 교통 건설 기업을 표적으로 공격한 것으로 확인됐다.  이후 2026년 2월까지 은밀하게 접근 권한을 유지한 것으로 나타났다.  초기 침투 경로는 명확히 확인되지 않았지만, 외부에 노출된 Microsoft SQL 서버의 원격 코드 실행 취약점 악용이 사용되었을 가능성이 제기된다. 해당 공격 역시 이전과 동일하게 DLL 사이드로딩을 통해 SPECTRALVIPER 백도어 배포로 이어진다.  동일 네트워크 내 여러 감염 시스템에서 세 가지 변종이 확인됐다.  해당 악성코드는 C2 서버("gatewayrvcenter[.]com")와 통신한다.  이를 통해 시스템 식별 정보를 전송하고 공격자의 명령을 수신하는 것으로 나타났다. OceanLotus는 2024년 11월부터 베트남 인프라 및 교통 건설 기업을 지속적으로 표적으로 삼은 것으로 확인됐다. 이후 2026년 2월까지 은밀하게 접근 권한을 유지한 것으로 나타났다.  초기 침투 경로는 명확히 밝혀지지 않았으나, 외부에 노출된 Microsoft SQL 서버의 원격 코드 실행 취약점이 악용되었을 가능성이 제기된다. 보안 연구진은 "전반적으로 OceanLotus의 운영 방식에 변화가 나타난 것으로 보인다"고 밝혔다.  이어 "2020년 전면 조직이 공개된 이후 해외 스파이 활동은 보다 선택적으로 수행하는 경향을 보인다"고 설명했다.  또한 "동시에 국내 표적에 대한 집중도가 점차 높아지고 있다"고 덧붙였다. 출처 https://thehackernews.com/2026/06/oceanlotus-hits-vietnam-investors-with.html

보안 연구진의 분석에 따르면 The Gentlemen 그룹은 초기에는 이중 갈취 공격을 수행하는 제휴 조직 형태로 활동했다.  동시에 LockBit(Tenacious Mantis), Qilin(Pestilent Mantis), Medusa(Venomous Mantis) 등 다양한 RaaS 인프라를 활용한 것으로 나타났다. 보안 회사에 따르면 해당 그룹은 Phantom Mantis로 추적된다.  이는 LARVA-368으로 식별되는 러시아어 사용 사이버 범죄자가 주도하는 ㅈ직이다.  해당 인물은 hastalamuerte, ArmCorp, zeta88, nobody0, santamuerte 등의 별칭을 사용하는 것으로 알려졌다.  The Gentlemen은 2025년 3월부터 활동해 왔으며, 현재까지 총 478개의 피해를 주장하고 있다. 보안 회사는 "2025년 7월 Phantom Mantis가 The Gentlemen으로 전환됐다"고 밝혔다.  이후 독립적인 파트너십 프로그램 형태로 운영되며 다른 RaaS 그룹에 의존하지 않는 구조로 변화한 것으로 나타났다.  또한 "LARVA-368은 랜섬웨어 및 도구 개발과 유지 관리에 AI를 적극 활용하고 있다"고 설명했다.  더불어 침투 이후 공격 과정에서도 AI를 지원 도구로 활용하는 것으로 분석됐다. LARVA-368은 초기 Embargo(Primeval Mantis) 랜섬웨어 그룹의 구성원이었던 것으로 분석된다.  이후 ArmCorp라는 이름으로 독자적인 활동을 시작하며, 약 4개월 후 The Gentlemen으로 재브랜딩된 것으로 나타났다. 해당 인물의 신원은 이후 보안 전문 기자에 의해 공개됐다.  러시아 이젭스크 출신의 36세 Alexander Andreevich Yapaev로 확인됐다.  보안 회사는 자사 분석 결과도 동일 인물과 높은 신뢰도로 일치한다고 밝혔다. 보안 보고에 따르면 2025년 8월 해당 변화가 발생했다.  이는 LARVA-368과 Qilin 간의 금전 분쟁과 맞물린 것으로 분석된다.  LARVA-368은 Qilin이 출구 사기를 저질러, 약 4만 8천 달러를 편취당했다고 비난한 것으로 나타났다. 보안 회사는 "Phantom Mantis는 30일 이내에 20개 이상의 표적을 확보할 정도로 활발한 제휴 조직이었다"고 밝혔다.  이어 "그러나 조직 관리자 LARVA-368과 전 구성원 LARVA-367(DevMan)은 Pestilent Mantis가 제휴자를 상대로 사기를 벌였다고 주장했다"고 설명했다.  또한 "제휴 패널의 피해자 채팅 기능에 백도어가 존재했다는 의혹도 제기됐다"고 덧붙였다. 보안 회사는 "해당 주장에 대한 명확한 증거는 확인되지 않았다"고 밝혔다.  다만 "LARVA-368과 LARVA-367이 Pestilent Mantis의 신뢰도를 떨어뜨려 제휴자를 유인하기 위해 의도적으로 허위 정보를 유포했을 가능성도 존재한다"고 분석했다. Phantom Mantis는 지하 포럼에서 프리미엄 계정을 구매한 정황도 확인됐다.  이를 통해 가시성을 높이고 경쟁을 견제하려는 목적으로 분석된다.  또한 그룹의 커뮤니케이션과 기술 지원은 The Gentlemen Data라는 별도의 러시아어 사용 인물이 담당하는 것으로 나타났다. [그림 1. The Gentlemen 랜섬웨어 공격 흐름] 보안 연구진은 The Gentlemen을 "고도로 적응력이 높고 빠르게 변화하는 랜섬웨어 조직"으로 평가했다.  성숙한 랜섬웨어 기술을 기반으로 RaaS 기능을 결합한 구조다.  또한 이중 갈취, 크로스 플랫폼 암호화 기능, 유연한 확산 방식, 제휴 지원 체계를 함께 운영하는 것으로 나타났다. 해당 그룹은 2026년 4월 전체 랜섬웨어 활동의 약 10%를 차지할 정도로 활발한 위협 행위자로 부상했다.  보안 연구진은 "The Gentlemen은 취약한 외부 노출 서비스나 탈취된 자격 증명을 이용한 초기 침투로 공격을 시작한다"고 밝혔다.  이후 공격 과정에서 전술을 유연하게 변경하는 특징을 보인다.  그룹 정책(GPO) 조작, 권한 계정 탈취, 엔드포인트 보안 우회 기법 등이 활용되는 것으로 분석됐다. 해당 그룹 피해자의 약 13%만이 미국에 위치한 것으로 나타났다.  대부분의 피해는 태국, 영국, 브라질, 독일, 인도에 집중되어 있는 것으로 확인됐다. LARVA-368은 The Gentlemen IM 애플리케이션 계정을 활용해 제휴자 지원을 수행한다.  암호화 과정과 침투 관련 문제에 대한 기술 지원이 포함된다.  또한 BYOVD 기법을 이용해 보안 솔루션을 우회할 수 있는 EDR 우회 도구도 제공하는 것으로 나타났다. The Gentlemen과 The Gentlemen Data의 지원 서비스는 Tox, SimpleX Chat, Ricochet Refresh 등 오픈소스 메신저 플랫폼을 통해 제공된다.  잠재적 제휴자는 제휴 패널 접근을 위해 최소 1GB 이상의 탈취 데이터를 관리자에게 제출해야 한다.  이는 연구자나 수사 기관이 제휴자로 위장해 인프라에 접근하는 것을 방지하기 위한 조치로 분석된다.  해당 제휴 패널은 사용자 관리, 표적 설정, 특정 대상에 대한 랜섬웨어 다운로드 기능을 지원하는 것으로 나타났다. Phantom Mantis는 Windows, Linux, ESXi, Windows XP 이상 버전, LVM(Logical Volume Manager)용으로 설계된 총 5가지 랜섬웨어 변종을 제공한다.  해당 그룹은 공격자 유치를 위해 공격적인 수익 분배 구조를 운영한다.  제휴자는 90%, 운영자는 10%를 가져가는 구조로 설계된 것으로 나타났다. 초기 침투는 VPN 장비, 방화벽 등 외부에 노출된 엣지 장비를 통해 이루어진다.  특히 Cisco와 Fortinet FortiGate와 같은 플랫폼이 주요 표적으로 지목된 것으로 나타났다. 감염 체인에서는 NetExec, RelayKing, TaskHound, PrivHound, CertiHound 등 다양한 레드팀 도구가 활용된다. 이를 통해 Active Directory 탐색, 인증서 악용, 권한 상승, 파일 공유 탐색이 수행된다.  또한 EDRStartupHinder, gfreeze, glinker, DumpBrowserSecrets 등의 도구가 보안 솔루션 우회를 위해 사용된다.  이와 함께 Velociraptor는 명령제어(C2) 용도로 활용되는 것으로 나타났다. 해당 공격에서는 System, Application, Security 로그 등 Windows 이벤트 로그 삭제 시도도 포함된다.  또한 Microsoft Defender를 비활성화하며, 백신 예외 항목을 추가하는 방식으로 보안 탐지를 회피하는 것으로 나타났다. 해당 랜섬웨어는 X25519 키 교환 방식과 XChaCha20 대칭 암호화 알고리즘을 결합한 하이브리드 암호화 방식을 사용한다.  해당 랜섬웨어는 Microsoft에서 Storm-2697로 추적되고 있다.  Go 언어로 작성되었으며, Windows 환경을 주요 표적으로 삼도록 Garble을 이용해 난독화된 것으로 확인됐다.  또한 "--spread" 옵션이 활성화되면 단일 시스템 암호화 도구에서 웜 형태로 전환된다.  이 경우 네트워크 내 접근 가능한 모든 시스템으로 확산을 시도한다.  더불어 "--wipe" 옵션이 사용되면 암호화 이후 복구 가능한 데이터를 제거하는 추가 동작을 수행하는 것으로 나타났다. 보안 회사에 따르면 해당 랜섬웨어 조직은 다중 채널 갈취 방식을 운영하는 것으로 분석된다.  랜섬웨어 공격과 함께 이메일 및 전화 기반 압박 전술을 병행하는 것으로 나타났다. 보안 회사는 해당 그룹이 매우 빠른 개발 주기를 운영하고 있다고 평가했다.  이는 2026년 4월 복호화 도구가 공개된 당일 즉시 패치를 배포한 사례에서도 확인된다. 해당 공격의 평균 잠복 기간은 초기 침투부터 암호화 단계까지 약 2주에서 6주로 나타났다.  특히 VMware 인프라를 운영하는 조직을 주요 표적으로 삼는 것으로 분석된다. 최근 해당 그룹이 사용하던 Rocket.Chat 내부 데이터베이스 유출 사건을 통해 그룹 내부 운영 방식이 일부 드러났다.  2025년 11월부터 2026년 4월 말까지 약 3,366건의 메시지가 포함된 것으로 확인됐다.  이를 VMware Aria Operations, Fortinet, Cisco, Microsoft 소프트웨어 취약점이 공격에 활용된 정황도 확인됐다.  또한 조직 내 역할과 책임이 명확히 분리된 범죄 조직 구조로 운영되고 있는 것으로 분석됐다. 보안 회사는 "해당 그룹이 CVE-2024-55591, CVE-2025-32433, CVE-2025-33073 등 최신 취약점을 적극적으로 추적하고 평가한다"고 밝혔다.  또한 백업 시스템과 관리 컨트롤러 악용, NTLM 릴레이와 같은 공격 기법을 결합한다.  이를 통해 유연한 공격 파이프라인을 구축한 것으로 분석된다. 또한 2026년 3월에는 추가적인 노출 사례도 확인됐다.  보안 연구진은 러시아 기반 불릿프루프 호스팅 서비스 Proton66에서 운영되던 공개 디렉터리를 발견했다.  해당 디렉터리는 "176.120.22[.]127:80"에서 접근 가능했다.  내부에는 The Gentlemen RaaS 제휴자가 사용하는 전체 랜섬웨어 운영 도구 세트가 포함된 126개의 파일이 포함되어 있었다.  해당 도구 세트에는 정찰, 권한 상승, 보안 회피, 자격 증명 탈취 기능 등 다양한 공격 단계에 필요한 기능이 포함되어 있었다.  또한 내부 확산, 지속성 유지, 암호화 이전 준비 단계까지 지원하는 것으로 나타났다.  이는 침해 전체 라이프사이클을 포괄하는 구조로 분석된다. 보안 회사는 "LARVA-368은 갈취 중심 공격을 전문으로 하는 위협 행위자"라고 밝혔다.  또한 "최소 2020년부터 활동해온 것으로 확인된다"고 설명했다.  이어 "여러 RaaS 그룹과의 협업을 통해 축적된 기술력이 The Gentlemen RaaS 구축의 기반이 됐다"고 덧붙였다. 출처 https://thehackernews.com/2026/06/the-gentlemen-ransomware-claims-478.html

Oracle PeopleSoft 서버가 샤이니헌터스(ShinyHunters)라는 데이터 탈취 조직의 지속적인 공격 대상이 되고 있다.  이들은 100개 이상의 조직에서 데이터를 탈취했다고 주장하고 있다. PeopleSoft는 인사 관리, 급여, 재무, 공급망 관리, 조달, 학사 행정 등 다양한 업무를 지원하는 기업용 비즈니스 소프트웨어 제품군이다.  해당 공격은 클라우드와 온프레미스 환경 모두를 포함한 Oracle PeopleSoft 고객 환경을 대상으로 한 대규모 데이터 탈취 공격이다.  피해 고객들은 ShinyHunters 명의로 작성된 금전 요구 메시지를 수신한 것으로 나타났다. 공격자는 자신들이 해당 공격의 배후임을 인정하며, 100개 이상의 조직에서 약 300개 인스턴스의 데이터를 탈취했다고 주장했다. 샤이니헌터스(ShinyHunters)는 공격에 구형 취약점과 제로데이 취약점을 결합한 "가젯 체인"을 사용하고 있다고 밝혔다.  다만 모든 시스템에서 동일하게 공격이 성공하지는 않는다고 설명했다.  또한 공격 성공 여부는 각 인스턴스의 설정에 따라 달라질 수 있다고 덧붙였다. 공격자에 따르면 이번 공격의 주요 피해 조직은 교육 분야에 집중되어 있다. 또한 이들 중 상당수는 과거에도 동일 그룹으로부터 금전 갈취를 당한 이력이 있는 것으로 나타났다. 공격자는 초기 목표가 PeopleSoft 기반 FBI 포털 침해하여, 허위 정보에 대한 입장을 공개하기 위함이었음을 밝혔다. 그러나 해당 시스템에 대한 접근에는 성공하지 못했다고 밝혔다. 공격자는 Nottingham University도 피해 대상이라고 주장했다.  또한 해당 대학의 데이터가 이미 ShinyHunters 유출 사이트에 공개됐다고 밝혔다.  이에 대해 대학 측도 사이버 보안 사고 발생 사실을 공식적으로 인정했다. 현재까지 Oracle은 해당 공격에 대한 공식 입장을 밝히지 않았다.  그러나 한 보안 연구진은 이번 공격과 관련된 도구가 포함된 노출된 온라인 디렉터리를 다수 발견한 것으로 보고했다. 보안 연구진은 "ShinyHunters 또는 이를 사칭한 그룹이 PeopleSoft 환경을 지속적으로 표적으로 삼고 있음을 보여주는 여러 디렉터리가 노출됐다"고 밝혔다. MeshCentral 에이전트를 비롯한 사전 준비 자료와 웹사이트 변조 및 자격 증명 스프레이 공격에 사용되는 스크립트도 함께 발견된 것으로 나타났다. 보안 연구진은 이번 공격과 관련된 침해 지표(IoC)로 여러 IP 주소를 공유했다. - 142.11.200[.]186 - 142.11.200[.]187 - 142.11.200[.]188 - 142.11.200[.]189 - 142.11.200[.]190 - 108.174.202[.]99 - 176.120.22[.]24 일부 IP 주소에서는 공통 이름이 "azurenetfiles[.]net"인 TLS 인증서가 사용된 것으로 확인됐다.  해당 도메인은 과거 ShinyHunters 갈취 그룹과 연관된 것으로 알려져 있다. 다섯 대의 서버에서는 공격에 대한 일부 정보를 제공하는 ".bash_history" 파일이 노출된 것으로 확인됐다.  내부 PeopleSoft 서버 침해 후 "README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT"라는 랜섬 노트를 생성하는 셸 스크립트가 포함된 것으로 나타났다. [그림 1. ShinyHunters 스크립트] 해당 스크립트는 /etc/hosts 파일을 분석하여 PeopleSoft 관련 시스템을 식별한다.  이후 'psoft', 'oracle', 'linuxadm' 등 일반적으로 사용되는 계정을 이용해 SSH 접속을 시도하는 것으로 나타났다. 비밀번호 인증에 실패할 경우, 대체 수단으로 SSH 키 기반 인증 방식으로 접속을 시도하는 것으로 나타났다. 접속에 성공하면 해당 스크립트는 PeopleSoft 웹 서버 및 애플리케이션 서버 관련 디렉터리에 랜섬 노트를 생성하는 것으로 나타났다. Oracle PeopleSoft을 운영 중인 경우 해당 공격에 대한 점검이 필요하다.  특히 위에서 언급된 IP 주소로부터의 접속 기록이 있는지 로그를 분석해야 한다.  이를 통해 공격 대상 여부를 확인하는 것이 권장된다. 출처 https://www.bleepingcomputer.com/news/security/oracle-peoplesoft-servers-hacked-in-shinyhunters-data-theft-attacks/