 |
카스퍼스키 GReAT는 2025년 10월, 자사가 ‘시큐리티 애널리스트 서밋(SAS) 2025’에서 포럼트롤(이하 ForumTroll) 관련 연구를 발표하기 직전, 해당 조직의 새로운 공격 활동을 포착했다. 이번 공격은 기존 기관 중심 공격에서 벗어나 개인 연구자를 직접 노린 점이 특징이다.
공격자는 러시아 학술 포털 ‘eLibrary.ru’를 모방한 가짜 웹사이트(e-library[.]wiki)에서 ‘가짜 표절 보고서’ 이메일을 발송했다. 이메일에는 표절 검사 보고서를 다운로드하라는 안내가 포함돼 있었고, 압축 파일 내부에는 악성코드 설치용 바로가기 파일과 일반 이미지 폴더가 함께 들어 있었다. 사용자가 이를 실행하면 공격자 서버와 통신해 악성코드를 다운로드·설치하고, 동시에 흐릿한 PDF 파일을 띄워 의심을 피했다.
설치된 악성코드는 ‘Tuoni’로, 상용 해킹 도구를 변형해 원격 접근과 내부 확산 공격을 가능하게 한다. 카스퍼스키는 공격자가 클라우드 네트워크를 이용해 명령·제어(C2) 서버를 운영하며, 운영체제별로 다른 메시지를 표시하고 반복 다운로드를 제한하는 등 분석 회피 기법을 사용했다고 밝혔다. 또한 가짜 사이트의 제작 시점이 2024년 12월로 추정돼 장기간 준비된 공격임이 드러났다.
게오르기 쿠체린 카스퍼스키 GReAT 선임 연구원은 “연구자들은 공개된 학술 프로필로 인해 고위협 행위자들의 주요 표적이 된다”며 “표절 주장처럼 불안감을 자극하는 피싱 이메일은 특히 위험하다”고 경고했다.
이효은 카스퍼스키 한국지사장은 “학계 역시 사이버 공격의 주요 표적이 되고 있다”며 “ForumTroll 사례는 학술 커뮤니티가 높은 경각심을 유지해야 함을 보여준다. 카스퍼스키는 첨단 기술과 전문 인력을 통해 연구 환경의 보안을 강화하는 데 지속 기여할 것”이라고 말했다.
카스퍼스키는 이번 공격을 자사 XDR(확장 탐지·대응) 솔루션 ‘Kaspersky Next XDR Expert’를 통해 처음 탐지했으며, ForumTroll이 2022년부터 러시아와 벨라루스 내 표적을 꾸준히 노려온 것으로 분석했다.
- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -
이 기사의 카테고리는 언론사의 분류를 따릅니다.