I-SOON 귀속: 여러 중국 국가 후원 그룹과 연결된 민간 계약자

최근 i-SOON 유출에 대한 인사이트를 업데이트한 새로운 Insikt 그룹 리서치를 소개합니다. 2024년 2월 18일, 안쉰 정보 기술 유한회사에서 익명으로 문서가 유출된 사건이 발생했습니다. 중국 IT 및 사이버 보안 회사인 아이순(i-SOON)이 중국의 국가 지원 사이버 스파이 활동을 조명했습니다. 이번 유출은 i-SOON과 레드알파, 레드호텔, 포이즌 카프 등 중국 국가가 후원하는 여러 사이버 그룹이 개인 추적을 위한 통신 데이터 도용을 포함한 정교한 스파이 활동 네트워크에 연결되어 있음을 드러냈다는 점에서 중요한 의미를 갖습니다.

i-SOON과 연결된 중국 위협 활동 그룹(출처: Recorded Future)

인싯트 그룹은 유출된 자료를 분석한 결과 i-SOON과 이들 스파이 그룹 간의 운영 및 조직적 유대를 확인했으며, 중국의 공격적인 사이버 생태계에서 공유 사이버 역량을 제공하는 디지털 쿼터마스터의 역할도 입증했습니다. 이 정보는 공공 및 민간 부문 조직에 대한 표적 사이버 스파이 활동의 동기와 방법론에 대한 통찰력을 제공하는 네트워크 방어자에게 매우 중요한 정보입니다.

유출에도 불구하고, 국가가 후원하는 사이버 활동을 하는 중국의 광범위한 민간 계약업체 네트워크 내에서 비교적 작은 규모의 조직인 i-SOON은 약간의 조정을 거쳐 운영을 계속할 것으로 예상됩니다. 이번 폭로는 중국의 사이버 첩보 활동의 규모와 정교함에 대한 이해를 높이는 동시에 향후 i-SOON 요원에 대한 미국의 법적 조치에 영향을 미칠 수 있습니다.

특히, 자료가 유출된 이후 인식트 그룹은 이미 i-SOON과 연계된 그룹인 레드알파와 레드호텔의 도메인 및 인프라 개발이 새롭게 관찰된 것을 확인했습니다.

전체 분석 내용을 읽으려면 여기를 클릭하여 PDF 보고서를 다운로드하세요.

부록 A — 침해 지표

참고: 이러한 지표는 과거 지표로 몇 년 전으로 거슬러 올라가는 경우가 많습니다. 이는 이 보고서에서 i-SOON과 추적된 중국 국가 지원 위협 활동 간의 연관성을 식별하기 위해 사용된 참조 인프라의 모음으로만 포함되었으며 현재 활동의 지표로 사용해서는 안 됩니다. 도메인 1ds[.]me antspam-mail[.]services bayantele[.]xyz dnslookup[.]services docx[.]1ds[.]me gmail[.]isooncloud[.]com gmailapp[.]me i-soon[.]net IP[.]1DS[.]ME lengmo[.]myds[.]me lengmo[.]net linercn[.]org livehost[.]live 메일노트[.]온라인 메일테소[.]온라인 mpt[.]buzz mptcdn[.]com mydigi[.]사이트 NEWS[.]1DS[.]ME wcuhk[.]livehost[.]live web[.]goog1eweb[.]com whkedu[.]dnslookup[.]services www[.]gmailapp[.]me www[.]sw-hk[.]services IP 주소 1.192.194[.]162 66.98.127[.]105 101.219.17[.]111 118.31.3[.]116 171.88.142[.]148 171.88.143[.]37 171.88.143[.]72 221.13.74[.]218 이메일 주소: 첸 쳉 일명 렝모: l3n6m0@gmail[.]com 우 하이보 일명 Shutd0wn: shutdown@139[.]com Zheng Huadong: yetiddbb@qq[.]com 리앙 구오동 일명 라이너 일명 거더: girvtr@gmail[.]com liang007@outlook[.]com gird4r@gmail[.]com girder1992@hotmail[.]com evalliang@163[.]com 6060841@qq[.]com leungguodong@outlook[.]com l3nor@hotmail[.]com