해킹 대행 그룹, 언론인·활동가 대상 안드로이드·아이클라우드 공격

주장보안 연구원들이 중동과 북아프리카의 언론인, 활동가, 정부 관계자를 표적으로 삼는 해킹 대행 그룹을 식별했습니다. 이번 사례는 정부 기관이 민간 해킹 업체에 사이버 공격을 외주화하는 최근의 흐름을 보여줍니다.

팩트해커들은 피싱 공격으로 피해자의 아이클라우드 백업과 시그널 메시지 계정에 접근했습니다. 이들은 안드로이드 기기를 완전히 장악하는 스파이웨어도 배포했습니다.

팩트디지털 권리 단체인 액세스 나우와 모바일 보안 기업 룩아웃은 2023년부터 2025년까지 발생한 공격 사례를 조사했습니다. 피해 대상은 이집트와 레바논의 언론인을 비롯해 바레인, 사우디아라비아, 아랍에미리트, 영국 등 광범위한 지역에 걸쳐 있습니다.

팩트룩아웃은 이번 공격의 배후가 인도 정부와 연관된 것으로 의심받는 비터 APT와 연결된 해킹 대행 업체라고 결론지었습니다. 연구원들은 이 업체가 과거 인도 해킹 스타트업인 아핀의 분파인 렙섹일 가능성을 제기했습니다.

교차검증렙섹은 현재 소셜 미디어 계정과 웹사이트를 모두 삭제했습니다. 이로 인해 해당 기업으로부터 직접적인 답변을 듣는 것은 불가능했습니다.

주장해킹 대행 그룹을 이용하는 고객은 운영과 인프라를 직접 관리하지 않아 책임을 회피할 수 있습니다. 이는 고가의 상용 스파이웨어를 직접 구매하는 것보다 훨씬 저렴한 비용으로 운영할 수 있는 방식입니다.

팩트아이폰 사용자를 공격할 때는 애플 아이디 자격 증명을 탈취해 아이클라우드 백업에 접근했습니다. 이는 고가의 아이오에스 스파이웨어를 사용하는 것보다 경제적인 대안으로 평가됩니다.

팩트안드로이드 사용자에게는 프로스파이 스파이웨어를 사용했습니다. 이 악성 코드는 시그널, 왓츠앱, 줌 등 유명 앱으로 위장했습니다.

팩트공격자들은 중동에서 인기 있는 토톡과 보팀 앱으로도 위장해 사용자들을 속였습니다. 피해자가 자신의 시그널 계정에 해커가 제어하는 새로운 기기를 추가하도록 유도하는 방식도 사용했습니다.

팩트이러한 기법은 과거 러시아 스파이 조직이 사용했던 방식과 유사합니다.

출처테크크런치 보도와 액세스 나우, 룩아웃 공동 보고서를 교차 검증했습니다.