카스퍼스키는 공식 학술 포털을 모방한 가짜 웹사이트와 이메일을 이용해 표절 검사 보고서 다운로드를 유도하는 표적형 피싱 공격을 확인했다. 러시아 주요 대학과 연구기관 소속 연구자를 대상으로 ZIP 파일과 바로가기 파일을 활용해 악성코드를 설치했으며, 최종 페이로드로 원격 접근이 가능한 상용 해킹 도구가 사용됐다. 카스퍼스키는 공격 인프라 구성과 사전 준비 정황을 공개하고, 개인 기기 보안과 첨부 파일 점검을 권고했다.
카스퍼스키는 글로벌 연구 분석팀 GReAT가 가짜 표절 검사 보고서를 미끼로 러시아 주요 대학 및 연구기관 소속 정치학자와 연구자를 겨냥한 표적형 피싱 공격 ForumTroll 활동을 탐지했다고 밝혔다.
카스퍼스키 GReAT는 2025년 10월, ForumTroll 관련 연구가 SAS 2025에서 발표되기 직전 시점에 관측된 신규 공격 활동을 확인했다. 캠페인은 기관 단위 침투보다 개인 연구자를 직접 겨냥하는 방식으로 전개됐으며, 정치학자, 국제관계 전문가, 경제학자 등 학술 프로필과 연락처 정보가 공개된 대상이 표적에 포함됐다.
ForumTroll은 2025년 3월 카스퍼스키가 탐지해 분석·문서화한 작전 흐름과 연결된다. 당시 카스퍼스키는 이후 CVE-2025-2783으로 추적된 크롬 취약점을 발견해 보고했으며, ForumTroll이 상용 스파이웨어 Dante를 사용한 정황과 함께 과거 해킹팀 후속 조직으로 알려진 Memento Labs와의 연관 가능성을 분석했다.
2025년 10월 공격자는 support@e-library[.]wiki 주소를 발신자로 사용해 피싱 이메일을 유포했다. 발신 도메인은 러시아 학술 포털 elibrary.ru를 모방한 가짜 사이트에서 생성된 것으로 확인됐다. 이메일은 표절 검사 보고서를 다운로드하도록 링크 클릭을 유도했으며, 링크를 통해 전달된 파일은 표적 학자 이름을 파일명으로 사용한 ZIP 압축 파일 형태였다. 압축 파일 내부에는 악성코드 실행을 위한 바로가기 파일과 함께, 자료처럼 보이도록 구성한 일반 이미지 파일 폴더가 포함됐다.
바로가기 파일 실행 시 공격자 서버와 통신하는 코드가 동작하며 악성코드가 다운로드돼 시스템에 설치된다. 재부팅 이후에도 지속 실행되도록 구성됐고, 동시에 흐릿하게 처리된 PDF 파일이 열리도록 설계돼 표절 검사 보고서처럼 보이게 했다.
최종적으로 설치되는 악성코드는 Tuoni로 확인됐다. Tuoni는 보안 테스트에 사용되는 상용 해킹 도구로 알려져 있으며, 공격자는 이를 통해 피해자 기기에 원격 접근 권한을 확보하고 네트워크 내부에서 추가 악성 행위를 수행할 수 있는 기반을 마련한다.
공격 인프라 구성에서도 회피 기법을 확인했다. 공격자는 패스트리의 클라우드 네트워크에 명령·제어 서버를 호스팅했고, 방문자 운영체제에 따라 다른 메시지를 표시하거나 반복 다운로드를 제한해 분석을 어렵게 했다. e-library[.]wiki 가짜 사이트는 eLibrary 화면을 복제한 형태였으며, 2024년 12월로 거슬러 올라가는 작업 흔적이 확인돼 준비 기간이 있었던 것으로 분석됐다.
또한, 학술 프로필에 공개된 연락처 정보가 공격 표적 선정에 활용될 수 있다고 보고, 표절 주장처럼 불안을 유발하는 메시지가 클릭을 유도하는 방식으로 악용될 수 있다고 설명했다. 개인 기기에서 보안 소프트웨어 최신 상태를 유지하고, 예상하지 못한 압축 파일과 바로가기 파일 실행을 피하며, 링크 접속 전 발신자 도메인과 사이트 진위를 확인하는 방식이 노출을 줄이는 데 도움이 된다고 권고했다.
카스퍼스키는 조사가 Kaspersky Next XDR Expert 솔루션 탐지에서 시작됐다고 밝혔다. 카스퍼스키 GReAT는 ForumTroll이 최소 2022년부터 러시아와 벨라루스 내 표적에 장기간 관심을 유지해 온 것으로 평가하고 있다.
press@weeklypost.kr
