I-SOON 귀속: 여러 중국 국가 후원 그룹과 연결된 민간 계약자

게시일: 2024년 3월 20일

작성자: Insikt Group®

Attributing I-SOON: Private Contractor Linked to Multiple Chinese State-sponsored Groups

최근 i-SOON 유출에 대한 인사이트를 업데이트한 새로운 Insikt 그룹 리서치를 소개합니다. 2024년 2월 18일, 안쉰 정보 기술 유한회사에서 익명으로 문서가 유출된 사건이 발생했습니다. 중국 IT 및 사이버 보안 회사인 아이순(i-SOON)이 중국의 국가 지원 사이버 스파이 활동을 조명했습니다. 이번 유출은 i-SOON과 레드알파, 레드호텔, 포이즌 카프 등 중국 국가가 후원하는 여러 사이버 그룹이 개인 추적을 위한 통신 데이터 도용을 포함한 정교한 스파이 활동 네트워크에 연결되어 있음을 드러냈다는 점에서 중요한 의미를 갖습니다.

i-SOON과 연결된 중국 위협 활동 그룹(출처: Recorded Future)

인싯트 그룹은 유출된 자료를 분석한 결과 i-SOON과 이들 스파이 그룹 간의 운영 및 조직적 유대를 확인했으며, 중국의 공격적인 사이버 생태계에서 공유 사이버 역량을 제공하는 디지털 쿼터마스터의 역할도 입증했습니다. 이 정보는 공공 및 민간 부문 조직에 대한 표적 사이버 스파이 활동의 동기와 방법론에 대한 통찰력을 제공하는 네트워크 방어자에게 매우 중요한 정보입니다.

유출에도 불구하고, 국가가 후원하는 사이버 활동을 하는 중국의 광범위한 민간 계약업체 네트워크 내에서 비교적 작은 규모의 조직인 i-SOON은 약간의 조정을 거쳐 운영을 계속할 것으로 예상됩니다. 이번 폭로는 중국의 사이버 첩보 활동의 규모와 정교함에 대한 이해를 높이는 동시에 향후 i-SOON 요원에 대한 미국의 법적 조치에 영향을 미칠 수 있습니다.

특히, 자료가 유출된 이후 인식트 그룹은 이미 i-SOON과 연계된 그룹인 레드알파와 레드호텔의 도메인 및 인프라 개발이 새롭게 관찰된 것을 확인했습니다.

전체 분석 내용을 읽으려면 여기를 클릭하여 PDF 보고서를 다운로드하세요.

부록 A — 침해 지표

Note: These indicators are historical and often date back several years. They are included solely as a collation of the referenced infrastructure used in this report to identify connections between i-SOON and tracked Chinese state-sponsored threat activity and should not be used as indications of current activity. 

 Domains:
 1ds[.]me
 antspam-mail[.]services
 bayantele[.]xyz
 dnslookup[.]services
 docx[.]1ds[.]me
 gmail[.]isooncloud[.]com
 gmailapp[.]me
 i-soon[.]net
 ip[.]1ds[.]me
 lengmo[.]myds[.]me
 lengmo[.]net
 linercn[.]org
 livehost[.]live
 mailnotes[.]online
 mailteso[.]online
 mpt[.]buzz
 mptcdn[.]com
 mydigi[.]site
 news[.]1ds[.]me
 wcuhk[.]livehost[.]live
 web[.]goog1eweb[.]com
 whkedu[.]dnslookup[.]services
 www[.]gmailapp[.]me
 www[.]sw-hk[.]services
 
 IP Addresses:
 1.192.194[.]162
 66.98.127[.]105
 101.219.17[.]111
 118.31.3[.]116
 171.88.142[.]148
 171.88.143[.]37
 171.88.143[.]72
 221.13.74[.]218
 
 Email Addresses:
 Chen Cheng aka lengmo:
 l3n6m0@gmail[.]com
 
 Wu Haibo aka Shutd0wn:
 shutdown@139[.]com
 
 Zheng Huadong:
 yetiddbb@qq[.]com
 
 Liang Guodong aka liner aka girder:
 girvtr@gmail[.]com
 liang007@outlook[.]com
 gird4r@gmail[.]com
 girder1992@hotmail[.]com
 evalliang@163[.]com
 6060841@qq[.]com
 leungguodong@outlook[.]com
 l3nor@hotmail[.]com