2025.8.18 중국 UAT-7237의 대만 인프라 해

1. 사건 개요

• 해킹 그룹: 중국어 사용 조직 UAT-7237 → 상위 그룹 UAT-5918의 하위 조직으로 추정.
• 활동 시점: 2022년부터 활동, 2023년부터 대만 중요 인프라 공격 시작.
• 침투 방식:
  • 인터넷에 노출된 서버의 알려진 취약점 악용
  • 정찰·지문 수집 후 가치 있는 목표 선정
  • 침투 성공 시 내부 확장 (LOLBins, WMI 도구 활용)
• 특징: SoftEther VPN·RDP 통한 지속적 접근, 중국어 간체 UI 사용 흔적.
• 비교 사례: MS가 기록한 Flax Typhoon 전술과 유사.

---

 

2. 피해 범위

• 대상: 대만의 웹 인프라 전반 (중요 인프라, 의료, IT, 통신 분야 포함 가능).
• 위험 요소:
  • 윈도 레지스트리 변조 → UAC 비활성화, WDigest 평문 암호 저장 활성화
  • 내부 계정·비밀번호 유출 가능성
  • 장기간(2022년 9월~2024년 12월) 은밀히 접근 유지
• 연계 도구: 웹셸, PowerShell, Impacket, Cobalt Strike 등 고급 침투 툴 활용.

---

 

3. 원인

• 기술적:
  • 서버 취약점 미패치
  • 계정 보안 관리 미흡 (RDP·VPN 악용)
  • 평문 암호 저장 등 보안 설정 취약점 활용
• 조직적:
  • 중국계 해킹 그룹(UAT-5918, Flax Typhoon, Gelsemium 등)과의 연관성
  • 지속적인 도구 개량(FireWood 백도어 변종, usbdev.ko 루트킷 연계)
• 전술적:
  • 오픈소스 기반 도구 변형
  • 장기적 스파이 활동을 위한 은밀한 접근 기법 고도화