개요
ESET Research가 2026년 4월 공개한 바에 따르면, GopherWhisper라는 중국 연계 APT(Advanced Persistent Threat) 그룹이 몽골 정부 기관을 타겟으로 한 정교한 사이버 스파이 활동을 전개했습니다. 이 그룹의 가장 특징적인 공격 기법은 Slack, Discord, Microsoft 365 Outlook, file.io와 같은 합법적인 클라우드 협업 서비스를 명령제어(Command & Control, C&C) 통신 채널로 악용하는 것입니다.
위협 개요
공격자 프로필
| 항목 | 내용 |
|---|---|
| 그룹 명칭 | GopherWhisper (ESET 명명) |
| 국가 속성 | 중국 연계 (China-aligned) |
| 활동 시작 시점 | 2023년 11월 이상 |
| 발견 시점 | 2025년 1월 ESET 최초 탐지 |
| 주요 타겟 | 몽골 정부 기관 (확인된 피해자: 12개 시스템) |
| 추정 총 피해자 | 수십 명 이상 (지역/산업군 미상) |
명명 배경
- Gopher: 그룹의 도구 대부분이 Go 언어로 작성됨 (Go 언어 마스코트가 Gopher)
- Whisper: 악성 컴포넌트 파일명인
whisper.dll에서 유래
공격 도구세트 분석
GopherWhisper는 주로 Go 언어 기반의 맞춤형 백도어와 유틸리티를 사용합니다.
1. 백도어 (Backdoors)
LaxGopher
- 기술: Go 기반 백도어
- C&C 방식: 프라이빗 Slack 서버
- 기능:
- Slack 채널에서 명령 수신
- cmd.exe를 통한 명령 실행
- 결과를 Slack 채널에 게시
- 추가 악성코드 다운로드
RatGopher
- 기술: Go 기반 백도어
- C&C 방식: 프라이빗 Discord 서버
- 기능:
- Discord 채널에서 명령 수신
- 명령 실행 후 결과를 Discord 채널에 게시
BoxOfFriends
- 기술: Go 기반 백도어
- C&C 방식: Microsoft 365 Outlook (Microsoft Graph API)
- 기능:
- Outlook 임시 이메일(Draft) 생성/수정을 통한 C&C 통신
- 정상적인 이메일 트래픽으로 위장
SSLORDoor
- 기술: C++ 백도어
- 통신 방식: OpenSSL BIO를 사용한 원시 소켓 통신 (포트 443)
- 기능:
- 드라이브 열거
- 파일 작업 (열기, 읽기, 쓰기, 삭제, 업로드)
- C&C 입력 기반 명령 실행
2. 로더 및 인젝터 (Loaders & Injectors)
JabGopher
- 기능: 인젝터
- 동작:
- svchost.exe 프로세스 새 인스턴스 생성
- LaxGopher 백도어(whisper.dll로 위장)를 svchost.exe 메모리에 인젝션
FriendDelivery
- 기능: 악성 DLL (로더/인젝터)
- 동작: BoxOfFriends 백도어 실행
3. 엑스필트레이션 도구 (Exfiltration Tool)
CompactGopher
- 기술: Go 기반 파일 수집 도구
- 기능:
- 명령줄에서 파일 압축
- file.io 파일 공유 서비스로 자동 업로드
합법적 서비스 악용 방식 (Living off the Land)
1. Slack 악용
사용 패턴:
- 프라이빗 Slack 워크스페이스를 C&C 서버로 활용
- LaxGopher 백도어가 Slack API를 통해 통신
운영 특징:
- 6,044개의 Slack 메시지 분석됨 (2024년 8월 21일부터)
- 주로 디스크 및 파일 열거 명령 전송
- GitHub 저장소 링크 포함 (Go 프로세스 인젝션, 암호화 유틸리티 참조용)
장점:
- 기업 방화벽에서 Slack 트래픽은 허용되는 경우가 많음
- 관리자가 정상적인 협업 활동으로 간주 가능
2. Discord 악용
사용 패턴:
- 프라이빗 Discord 서버를 C&C 서버로 활용
- RatGopher 백도어가 Discord API를 통해 통신
운영 특징:
- 3,005개의 Discord 메시지 분석됨 (2023년 11월 16일부터)
- 백도어 초기 버전 소스코드 포함
- 운영자 시스템에서의 열거 결과 포함
장점:
- 무료로 쉽게 서버 생성 가능
- 암호화된 통신 기본 제공
3. Microsoft 365 Outlook 악용
사용 패턴:
- Microsoft Graph API를 통해 Outlook 임시 이메일(Draft) 생성/수정
- BoxOfFriends 백도어가 사용
운영 특징:
- 계정: barrantaya.1010@outlook.com (2024년 7월 11일 생성)
- 에코메 이메일 삭제되지 않음 (운영 실수)
- FriendDelivery DLL 컴파일일(2024년 7월 22일)과 시점 일치
장점:
- 기업에서 Office 365 트래픽은 필수적이므로 차단 어려움
- 임시 이메일은 전송되지 않아 탐지 우려 감소
4. file.io 악용
사용 패턴:
- CompactGopher가 압축된 파일을 file.io에 업로드
- 데이터 엑스필트레이션 경로로 활용
장점:
- 일시적인 파일 공유 서비스로 정상적 활동으로 위장 가능
- 업로드 링크를 통해 운영자가 쉽게 접근
공격자 속성 근거
1. 시간대 분석
| 플랫폼 | 활동 시간 (UTC) | UTC+8 변환 시간 |
|---|---|---|
| Slack | 00:00 - 12:00 | 08:00 - 20:00 |
| Discord | 00:00 - 14:00 | 08:00 - 22:00 |
분석 결과:
- UTC+8(중국 표준시)으로 변환 시 오전 8시~오후 5시 사이에 활동 집중
- Slack 메타데이터에서 사용자 로케일 zh-CN 확인
- 운영자의 VMware 가상머신 설치/부팅 타임스탬프가 UTC+8과 일치
2. 개발 자료
Slack 채널에서 발견된 GitHub 저장소:
- kardianos/service: Go 서비스 데몬 설치
- NHAS/stab: Go 로컬/원격 프로세스 인젝션
- kirinlabs/utils: Go 암호화 및 압축 유틸리티
- wumansgy/goEncrypt: Go 다양한 암호화 방법
공격 체인 분석
[초기 접근] → [맬웨어 배포] → [지속성 확보] → [C&C 통신] → [데이터 수집] → [엑스필트레이션]
↓ ↓ ↓ ↓ ↓ ↓
(미상) JabGopher/ svchost.exe Slack/Discord/ CompactGopher file.io
FriendDelivery 인젝션 Outlook 압축 & 수집 업로드
단계별 상세
- 초기 접근: 구체적인 벡터는 공개되지 않음 (피싱, 취약점 공격 가능성)
- 맬웨어 배포: JabGopher 또는 FriendDelivery 실행
- 지속성 확보: svchost.exe 프로세스 인젝션을 통한 은폐
- C&C 통신: 합법적 서비스(Slack/Discord/Outlook)를 통한 명령 수신
- 데이터 수집: 파일 및 디스크 열거, 중요 데이터 식별
- 엑스필트레이션: CompactGopher로 압축 후 file.io로 업로드
운영상 실수 및 탐지 기회
1. 로그 미삭제
문제점:
- Slack/Discord 서버가 테스트 환경으로 시작
- 테스트 로그가 삭제되지 않고 실제 공격에 재사용
- 수천 개의 메시지가 보존되어 분석 가능
방어자 기회:
- Slack/Discord 로그 분석을 통해 C&C 통신 패턴 식별
- 의심스러운 채널 활동 모니터링
2. 계정 정보 노출
문제점:
- Slack/Discord API 토큰이 하드코딩됨
- 분석가들이 공격자 계정에 직접 접근 가능
- Outlook 에코메 이메일 삭제되지 않음
방어자 기회:
- 하드코딩된 자격증명 스캔
- 불법적인 계정 생성 활동 감지
3. 시간대 패턴
문제점:
- 공격 활동이 특정 시간대(UTC+8 오전 8시~오후 5시)에 집중
- 지리적 속성 추정 가능
방어자 기회:
- 이상 시간대 활동 탐지
- 사용자 행동 패턴 분석(UEBA)
탐지 및 대응 방안
1. 네트워크 레벨 탐지
Slack/Discord 트래픽 모니터링:
감지 규칙:
- 비정상적인 Slack API 호출 패턴
- Discord Bot 토큰의 비정상적인 사용
- 대량의 파일 업로드/다운로드 활동
- 업무 시간 외의 빈번한 API 활동
Outlook Graph API 모니터링:
감지 규칙:
- 임시 이메일(Draft)의 빈번한 생성/수정
- 첨부파일이 포함된 임시 이메일의 반복적 생성
- 단일 계정에서의 비정상적인 API 호출 빈도
file.io 트래픽 차단:
정책:
- file.io와 같은 일시적 파일 공유 서비스 차단
- 알려진 엑스필트레이션 서비스 URL 차단
2. 엔드포인트 레벨 탐지
프로세스 모니터링:
감지 대상:
- svchost.exe에서의 의심스러운 DLL 로딩
- 알 수 없는 Go 실행 파일
- 비정상적인 프로세스 인젝션 시도
파일 시스템 모니터링:
감지 대상:
- `whisper.dll` 같은 의심스러운 파일명
- FriendDelivery, JabGopher 등 알려진 악성 파일명
- 임시 디렉토리에서의 비정상적인 파일 생성
3. 행동 분석 (UEBA)
사용자 행동 이상 탐지:
감지 패턴:
- 일반적인 업무 패턴과 다른 Slack/Discord 사용
- Outlook 계정의 비정상적인 활동 (임시 이메일 집중 사용)
- 비업무 시간대의 클라우드 서비스 접속
4. 보안 정책 강화
클라우드 서비스 제어:
권장 정책:
- Slack/Discord 사설 서버 사용 제한
- Microsoft Graph API 호출 제한 및 모니터링
- 파일 공유 서비스 화이트리스트 관리
- CASB(Cloud Access Security Broker) 도입
자격증명 관리:
권장 사항:
- 하드코딩된 자격증명 스캔 (Secret Scanning)
- API 토큰 주기 교체 단축
- 최소 권한 원칙 적용
한국 기관에 대한 시사점
1. 지정학적 위협
위험 요인:
- GopherWhisper는 중국 연계 APT로 한반도 도 지역적 잠재적 타겟
- 정부 기관, 연구소, 국방 관련 기업은 고위험 그룹
- 기술적 우위를 목표로 하는 산업 스파이 가능성
2. 클라우드 서비스 보안
현황 및 문제점:
- 한국 기관에서도 Slack, Discord, MS 365 적극 활용
- 재택근무 확대로 클라우드 협업 도구 의존도 증가
- 기존 보안 솔루션이 클라우드 트래픽을 효과적으로 탐지하지 못할 수 있음
권장 사항:
단기 대응 (1-3개월):
- 클라우드 서비스 사용 현황 점검
- Slack/Discord/Outlook API 로깅 활성화
- 비정상적인 클라우드 트래픽 탐지 규칙 수립중기 대응 (3-6개월):
- CASB 도입을 통한 클라우드 가시성 확보
- UEBA(사용자 행동 분석) 솔루션 구축
- 클라우드 보안 정책 수립 및 교육장기 대응 (6개월 이상):
- 제로 트러스트 아키텍처 도입
- 클라우드 네이티브 보안 플랫폼 구축
- 위협 인텔리전스 기반 사전 탐지 체계 마련
3. Living off the Land 대응
특징:
- GopherWhisper의 핵심은 "합법적 도구 악용"
- 기존 백신/EDR이 탐지하지 못할 수 있음
- 행동 기반 탐지가 필수
권장 사항:
기술적 대응:
- EDR/XDR 솔루션의 행동 분석 기능 강화
- 네트워크 트래픽 딥 패킷 인스펙션(DPI)
- DNS/HTTPS 트래픽 분석운영적 대응:
- 클라우드 서비스 사용 가이드라인 수립
- 보안 인증 교육 (피싱, 자격증명 관리)
- 사고 대응 훈련 (IR Drill)
4. 위협 인텔리전스 활용
IoC (Indicators of Compromise) 활용:
ESET가 공개한 GopherWhisper 관련 IoC를 블랙리스트에 추가:
파일 IoC:
- whisper.dll
- FriendDelivery.dll
- JabGopher.exe
- CompactGopher.exe
도메인/URL IoC:
- file.io (정책적 차단 권장)
계정 IoC:
- barrantaya.1010@outlook.com
행동 IoC:
- svchost.exe에서의 비정상적인 DLL 로딩
- Outlook Draft의 빈번한 생성/수정
- Slack/Discord API의 비정상적인 호출 패턴
위협 레벨별 대응 우선순위
| 위협 레벨 | 즉시 대응 (24시간 이내) | 단기 대응 (72시간 이내) | 장기 대응 (1주 이내) |
|---|---|---|---|
| Critical | Slack/Discord 트래픽 긴급 점검 알려진 IoC 블랙리스트 추가 |
API 로깅 활성화 비정상 활동 탐지 규칙 수립 |
CASB 도입 검토 클라우드 보안 정책 수립 |
| High | file.io 등 파일 공유 서비스 차단 | Outlook Draft 활동 모니터링 UEBA 솔루션 평가 |
제로 트러스트 아키텍처 설계 |
| Medium | 사용자 보안 인증 교육 실시 | 클라우드 서비스 사용 현황 점검 | 위협 인텔리전스 피드 구독 |
| Low | 보안 가이드라인 배포 | 정기적 보안 점검 일정 수립 | 지속적 보안 개선 계획 수립 |
결론
GopherWhisper는 합법적인 클라우드 협업 서비스를 악용하는 Living off the Land 공격의 전형적인 사례입니다. 기업과 정부 기관이 신뢰하는 Slack, Discord, Microsoft 365와 같은 서비스를 공격 채널로 변형시켜 방어를 회피했습니다.
핵심 교훈:
1. 클라우드 서비스 보안의 새로운 패러다임 필요: 단순히 차단하는 것이 아니라, 행동 기반 탐지와 가시성 확보가 필수
2. Living off the Land 공격에 대한 경각심: 합법적 도구의 악용은 탐지가 어렵고 피해가 큼
3. 위협 인텔리전스의 중요성: 최신 APT 활동을 모니터링하고 IoC를 적시에 적용해야 함
4. 한국 기관의 준비 필요성: 지정학적 위치상 한반도도 잠재적 타겟이 될 수 있음
행동 요약:
- [긴급] 클라우드 서비스 트래픽 모니터링 강화
- [긴급] 알려진 IoC 블랙리스트 추가
- [고위험] API 로깅 및 행동 분석 도입
- [중위험] CASB/UEBA 솔루션 검토
- [장기] 제로 트러스트 아키텍처 구축
참고자료
기술 보고서
- ESET Research: GopherWhisper: A burrow full of malware
- ESET White Paper: GopherWhisper Toolset Analysis
- ESET GitHub: GopherWhisper IoCs
뉴스 기사
- SecurityWeek: China-Linked APT GopherWhisper Abuses Legitimate Services in Government Attacks
- BleepingComputer: New GopherWhisper APT group abuses Outlook, Slack, Discord for comms
- The Hacker News: China-Linked GopherWhisper Infects 12 Mongolian Government Systems with Go Backdoors
- Help Net Security: GopherWhisper APT group hides command and control traffic in Slack and Discord
MITRE ATT&CK 매핑
- Initial Access: Spearphishing Link (T1566.002), Exploit Public-Facing Application (T1190)
- Execution: Command and Scripting Interpreter (T1059)
- Persistence: Process Injection (T1055), Hijack Execution Flow (T1054)
- Command and Control: Web Service (T1102), Application Layer Protocol (T1071)
- Exfiltration: Exfiltration Over Web Service (T1567)
본 콘텐츠는 AI 기술로 생성된 분석 리포트를 포함하고 있습니다. 내용 중 사실과 다르거나 보완이 필요한 정보를 발견하시면 댓글을 통해 소중한 의견 부탁드립니다. 여러분의 피드백은 더 정확한 보안 정보 공유에 큰 도움이 됩니다.
댓글 (0)
댓글을 작성하려면 로그인이 필요합니다.
로그인아직 댓글이 없습니다.
첫 번째 댓글을 작성해보세요!