시리즈 연재
<aside>
🎯 Vol.1 UAT-5918: 대만 중요 인프라를 노린 오픈소스 무기화 공격 분석 🎯 Vol.2 Lazarus 그룹: Impacket을 활용한 lateral movement 공격 분석 🎯 Vol.3 APT28 (Fancy Bear): Mimikatz와 PowerSploit을 활용한 권한 상승과 내부 침투 🎯 Vol.4 APT10: QuasarRAT과 PlugX를 활용한 장기 침투 및 정보 수집 작전 🎯 Vol.5 UNC2452 (SolarWinds 공격자): Cobalt Strike를 활용한 침투 후 활동 정밀 분석 🎯 Vol.6 FIN7: Carbanak과 AutoIt을 이용한 금융 시스템 침투 및 제어 🎯 vol.7 APT33: Ruler와 Roadtools를 활용한 정보 수집 및 내부 정찰 작전 🎯 Vol.8 Silent Librarian (TA407): 웹사이트 복제 도구를 활용한 학술기관 대상 피싱 공격 🎯 Vol.9 APT41: C2concealer와 ShadowPad를 활용한 공급망 침투 및 은닉 C2 인프라 구축 🎯 Vol.10 Earth Lusca: 오픈소스 정찰 도구와 커스텀 배포 스크립트를 활용한 사이버 첩보 작전 분석
</aside>
목차
Earth Lusca는 다양한 산업 분야와 지역의 조직을 대상으로 정교하고 지속적인 사이버 공격을 수행하는 위협 그룹입니다. 이 그룹은 주로 중국 정부의 전략적 관심사와 연관된 목표(동아시아·동남아 정부기관, 외교·언론·인권 단체, 교육기관 등)를 주요 표적으로 삼아왔으며, 공격 방식과 목표 선정에서 국가적 지원 의혹이 꾸준히 제기되고 있습니다.
동시에 암호화폐 거래소, 도박·불법 게임 서버 등 금전적 이득을 노린 공격도 병행하고 있어, 정치·외교적 목적과 경제적 목적이 혼합된 이중적 성향이 뚜렷합니다.
Earth Lusca는 공개 취약점 악용, 스피어피싱, 워터링 홀 등 다양한 기법과 함께 오픈소스/상용/자체 개발 도구를 혼합해 공격하며, 공격 전 주기(Full Kill Chain)에 걸쳐 치밀하게 활동하는 것이 특징입니다.
| 항목 | 내용 |
|---|---|
| 그룹명 | Earth Lusca, AQUATIC PANDA, RedHotel, Charcoal Typhoon, BRONZE UNIVERSITY, TAG-22 등 |
| 활동 시기 | 2019년 ~ 현재 |
| 주요 대상 | 동아시아 및 동남아시아의 정부 기관, 교육·언론·인권 단체, 중동 및 아프리카 일부 정부, 중국 내 도박 산업 및 해외 암호화폐 거래소 등 |
| 추정 배후/지역 | 중국 정부 지원 (China-nexus), 중국어 사용 그룹 |
| 공격 특징 | 워터링 홀・스피어피싱을 통한 표적 공격, 공개 취약점 악용을 통한 내부 침투, 다단계 페이로드(Cobalt Strike 등 상용 툴과 ShadowPad 등 자체 악성코드 병용), 광범위한 정찰 및 탈취 활동 (사이버 첩보 + 금전 추구) |