UNC6384 공격 탐지: 중국 연계 그룹이 외교관을 표적으로 삼아 웹 트래픽을 가로채 PlugX 변종을 유포

중국과 연계된 해킹 조직 UNC6384는 베이징의 전략적 목표를 지원하기 위해 동남아시아 외교관 및 전 세계 다양한 조직을 대상으로 한 사이버 스파이 활동 공격에 관여한 것으로 확인되었습니다. 이 캠페인은 웹 트래픽을 하이재킹하여 디지털 서명된 다운로더를 배포하고, 이를 통해 정교한 사회공학 기법과 탐지 회피 기술을 사용해 PlugX 백도어 변종을 배포합니다.

UNC6384 공격 탐지

CrowdStrike 2025 글로벌 위협 보고서에 따르면, 중국 연계 사이버 작전의 속도는 더욱 빨라지고 있으며, 국가 후원 활동은 150% 증가했고 금융, 미디어, 제조 및 산업 부문에 대한 표적 공격은 최대 300% 증가했습니다. 최근 UNC6384 캠페인은 이러한 추세와 맞물려 있으며, 중국 해킹 그룹의 공격 역량 확장과 고도화를 보여줍니다.

SOC Prime Platform에 등록하면 60만 개 이상의 탐지 규칙 및 쿼리 마켓플레이스에 접근할 수 있으며, 이는 업계 최고 수준의 보안 분석 솔루션에서 활용 가능합니다. SOC Prime Platform은 AI 네이티브 위협 인텔리전스, 자동화된 위협 헌팅, 고급 탐지 엔지니어링 기능을 제공하며, 중국 후원 UNC6384 그룹과 연계된 스텔스 공격으로부터 전 세계 조직을 보호할 수 있도록 최적의 탐지 스택을 제공합니다. Explore Detections 버튼을 클릭하면, MITRE ATT&CK® 프레임워크에 매핑된 Sigma 행위 규칙과 IOCs 및 AI 생성 규칙에 접근할 수 있으며, 이는 다양한 SIEM, EDR, Data Lake 플랫폼에서 활용 가능합니다. 

Explore Detections

UNC6384와 전술·도구 면에서 유사성을 보이는 중국 연계 그룹 Mustang Panda 관련 TTPs에 대한 추가 콘텐츠를 확인하려면 Threat Detection Marketplace에서 “Mustang Panda” 태그를 사용하거나 “APT” 태그를 사용해 더 폭넓은 국가 기반 위협 탐지 자료에 접근할 수 있습니다.

보안 엔지니어들은 Uncoder AI를 활용하여 Google Threat Intelligence Group 보고서에서 제공된 위협 인텔리전스를 즉시 맞춤형 헌팅 쿼리로 변환해 IOC 매칭을 가속화할 수 있습니다. 또한 Uncoder AI는 원시 위협 보고서에서 탐지 알고리즘을 생성하고, ATT&CK 태그를 예측하며, 쿼리를 AI로 최적화하고, 여러 언어 형식으로 변환하며, UNC6384 최신 활동을 포괄하는 Attack Flow를 시각화할 수 있습니다. 

UNC6384 공격 분석

2025년 초봄, Google Threat Intelligence Group (GTIG)은 중국 연계 위협 행위자 UNC6384에 의해 수행된 정교한 공격을 공개했습니다. 주요 표적은 동남아시아 외교관과 전 세계 조직이었습니다. UNC6384는 Mustang Panda (BASIN, Bronze President, Camaro Dragon, Earth Preta, Red Lich, Temp.Hex, TA416, RedDelta 등으로도 알려짐)와 TTPs를 공유합니다. 본 작전은 captive portal 리다이렉트를 통해 트래픽을 하이재킹하고 STATICPLUGIN을 배포했으며, 이후 PlugX(Korplug) 변종인 SOGU.SEC 백도어를 메모리 내에 로드했습니다. 

최소 2008년부터 활동해 온 PlugX 악성코드는 Mustang Panda를 포함한 중국 위협 그룹들에 의해 광범위하게 사용되어 왔습니다. 예를 들어, 2022년 Mustang Panda는 유럽, 중동, 남미의 국가 기관을 대상으로 한 캠페인에서 PlugX를 활용했습니다. UNC6384와 Mustang Panda는 모두 동남아시아 공공 부문을 표적으로 삼아 DLL 사이드로딩 런처를 통해 SOGU.SEC을 배포하고 공용 C2 인프라를 사용하는 것으로 관찰되었습니다.

이번 캠페인의 공격 플로우는 피해자의 브라우저가 captive portal hijack을 수행해 Adobe 플러그인 업데이트로 위장된 악성코드를 배포하는 것에서 시작됩니다. 이는 Chrome의 하드코딩된 captive portal 체크 (www.gstatic[.]com/generate_204)를 악용합니다. 이후 공격자는 Adversary-in-the-Middle(AitM) 리다이렉트를 통해 피해자를 합법적으로 보이는 업데이트 페이지로 유도하며, 유효한 TLS 인증서로 보호합니다. 그 후 1단계 악성코드 STATICPLUGIN이 전달되고, 동일 사이트에서 MSI 패키지를 다운로드합니다. MSI는 CANONSTAGER DLL 사이드로딩을 가능하게 하여 최종적으로 SOGU.SEC 백도어를 메모리 내에서 실행합니다. 2023년 이후 20개 이상의 서명된 샘플이 확인되었으며, 이는 UNC6384의 정교화 수준이 점점 높아지고 있음을 보여줍니다. 

UNC6384 공격 대응 방안으로, 공급업체는 최신 업데이트 적용과 함께 해당 악성 활동 및 기타 중국 후원 위협에 맞춘 방어 조치를 권장합니다. 권장 사항에는 Chrome의 강화된 안전 브라우징 기능 활성화, 모든 디바이스의 최신 보안 패치 유지, 계정의 2단계 인증 활성화가 포함됩니다. 

중국 해킹 그룹이 탐지를 피하기 위해 점점 더 은밀한 전술을 채택함에 따라, 조직은 공격 초기 단계에서 위협을 식별하고 전반적인 사이버 보안 태세를 보호하기 위해 선제적 방어를 강화해야 합니다. SOC Prime의 전체 제품군을 활용하면, 최고 수준의 보안 전문성과 AI를 기반으로 자동화, AI 네이티브 위협 인텔리전스, 제로 트러스트 보안 원칙을 통합하여 어떤 수준의 고도화된 사이버 위협에도 대응할 수 있습니다.