RedMike (Salt Typhoon) Exploits Vulnerable Cisco Devices of Global Telecommunications Providers

Executive Summary

Between December 2024 and January 2025, Recorded Future’s Insikt Group identified a campaign exploiting unpatched internet-facing Cisco network devices primarily associated with global telecommunications providers. Victim organizations included a United States-based affiliate of a United Kingdom-based telecommunications provider and a South African telecommunications provider. Insikt Group attributes this activity to the Chinese state-sponsored threat activity group tracked by Insikt Group as RedMike, which aligns with the Microsoft-named group Salt Typhoon. Using Recorded Future® Network Intelligence, Insikt Group observed RedMike target and exploit unpatched Cisco network devices vulnerable to CVE-2023-20198, a privilege escalation vulnerability found in the web user interface (UI) feature in Cisco IOS XE software, for initial access before exploiting an associated privilege escalation vulnerability, CVE-2023-20273, to gain root privileges. RedMike reconfigures the device, adding a generic routing encapsulation (GRE) tunnel for persistent access.

RedMike는 전 세계적으로 1,000대 이상의 Cisco 장치를 악용하려고 시도했습니다. 이 그룹은 통신 제공업체 네트워크와의 연관성을 바탕으로 대상 장치 목록을 작성했을 가능성이 큽니다. Insikt Group은 또한 RedMike가 아르헨티나, 방글라데시, 인도네시아, 말레이시아, 멕시코, 네덜란드, 태국, 미국, 베트남의 대학과 관련된 장치를 표적으로 하는 것을 발견했습니다. RedMike는 통신, 엔지니어링 및 기술과 관련된 연구에 접근하기 위해 UCLA 및 TU Delft와 같은 대학을 표적으로 삼았을 가능성이 있습니다. 이 활동 외에도 RedMike는 2024년 12월 중순에 미얀마에 본사를 둔 통신 사업자 Mytel이 소유한 여러 IP 주소를 정찰했습니다.

패치가 적용되지 않은 공용 장비는 조직의 인프라에 직접 접근할 수 있는 진입점이 됩니다. 정교한 중국 위협 활동 그룹은 지난 5년 동안 초기 접근을 위해 이러한 장치를 악용하는 방향으로 크게 전환했습니다. RedMike의 통신 인프라 악용은 기술적 취약성을 넘어 전략적 정보 위협을 나타냅니다. 중요한 통신 네트워크에 대한 지속적인 접근은 국가의 지원을 받는 위협 행위자가 기밀 대화를 감시하고, 데이터 흐름을 조작하며, 지정학적 분쟁 중에 서비스를 방해할 수 있게 합니다. RedMike가 합법적인 감청 프로그램과 미국 정치인을 표적으로 삼는 것은 이러한 작전의 이면에 있는 전략적 정보 목표와 이로 인한 국가 안보 위협을 강조합니다.

패치되지 않은 시스템은 여전히 중국 국영 위협 활동 그룹의 주요 초기 액세스 경로이기 때문에 조직, 특히 통신 업계에 속한 조직은 노출된 네트워크 장치를 우선적으로 해결해야 합니다. 네트워크 관리자는 엄격한 액세스 제어를 구현하고, 불필요한 웹 UI 노출을 비활성화하며, 무단 설정 변경을 모니터링해야 합니다. 개인은 잠재적인 도청 위험을 완화하기 위해 CISA(Cybersecurity and Infrastructure Agency)과 FBI(Federal Bureau of Investigation)의 권고에 따라 민감한 정보에 대해 종단 간 암호화된 통신 방법을 사용해야 합니다.

또한 정부와 사이버 보안 기관은 위협 인텔리전스 공유를 개선하고 네트워크 보안에 대한 규제를 더 엄격하게 부과해야 합니다. 미국이 RedMike와 연계된 Sichuan Juxinhe Network Technology에 제재를 가한 것은 중요 인프라에 대한 국영 사이버 스파이 활동에 대해 보다 단호한 입장을 표명한 것이고 칭찬할 만한 일이지만, 이러한 지속적인 위협에 효과적으로 대응하기 위해서는 강력한 국제 협력이 필수적입니다.

주요 연구 결과

• 언론의 대대적인 보도와 미국의 제재에도 불구하고 RedMike는 미국을 포함한 전 세계 통신 제공업체들을 계속해서 위협하고 있습니다.
• RedMike는 영국(UK) 통신 제공업체의 미국 기반 계열사와 남아프리카 공화국 통신 제공업체의 Cisco 네트워크 장치를 손상시켰습니다.
• RedMike exploited privilege escalation vulnerabilities CVE-2023-20198 and CVE-2023-20273 to compromise unpatched Cisco network devices running Cisco IOS XE software.
• Insikt Group은 Recorded Future Network Intelligence를 사용하여 2024년 12월부터 2025년 1월 사이에 RedMike가 1,000개 이상의 Cisco 네트워크 장치를 악용하려고 시도한 것을 식별했습니다.

배경

2024년 9월 말, 언론 보도(1, 2)에 따르면 중국 국영 그룹 Salt Typhoon이 Verizon(1), AT&T, Lumen Technologies를 포함한 미국 주요 통신 회사의 네트워크를 침해했다고 보도되었습니다. 이 활동은 전 세계 통신 조직에 영향을 미쳤을 가능성이 크며, 일부 매체의 보고에 따르면 Salt Typhoon이 최소 80개 조직을 손상시켰습니다. SaltTyphoon은 통신 제공업체에 대한 접근 권한을 이용하여 미국의 합법적인 감청 대상을 염탐하고 주요 미국 정치인의 통신을 가로챘습니다. Salt Typhoon의 침입 영향이 미국 정부의 최고위층에까지 미쳤습니다. 사이버 보안 전문가들이 미국 상원에 브리핑했고, CISA는 최근 통신 인프라 강화를 위한 지침을 발표했으며, CISA와 FBI는 민감한 통신에 암호화된 종단 간 메시징 애플리케이션 사용을 권장하는 공동 경고를 발표했습니다.

Insikt Group tracks Salt Typhoon-aligned activity as RedMike. Salt Typhoon is a group name given by Microsoft Threat Intelligence; at this time, Microsoft has not published publicly available technical details of the group's activity. The only public information Microsoft has shared confirms an overlap with two existing threat activity group names: GhostEmperor (Kaspersky) and FamousSparrow (ESET).

2025년 1월 17일, 미국 재무부 산하 해외자산통제국(US Department of the Treasury’s Office of Foreign Assets Control, OFAC)은 RedMike 활동에 직접 연루된 쓰촨성의 사이버 보안 회사인 Sichuan Juxinhe Network Technology Co., Ltd.에 제재를 가했습니다. OFAC는 Sichuan Juxinhe Network Technology Co., Ltd.가 미국의 통신 및 인터넷 서비스 제공업체를 악용하는 데 직접 관여했다고 발표했습니다. OFAC에 따르면 중국 국가안전부(Ministry of State Security, MSS)는 Sichuan Juxinhe를 포함한 여러 컴퓨터 네트워크 침해 기업과 긴밀한 관계를 유지해 왔습니다.

기술 분석

Cisco IOS XE 웹 UI 악용

Using Recorded Future Network Intelligence, Insikt Group identified that since early December 2024, RedMike has attempted to exploit over 1,000 internet-facing Cisco network devices worldwide, primarily those associated with telecommunications providers, using a combination of two privilege escalation vulnerabilities: CVE-2023-20198 and CVE-2023-20273. When successfully compromised, the group uses the new privileged user account to change the device's configuration and adds a GRE tunnel for persistent access and data exfiltration.

The privilege escalation vulnerability CVE-2023-20198 was found in the Cisco IOS XE software web UI feature, version 16 and earlier, and published by Cisco in October 2023. Attackers exploit this vulnerability to gain initial access to the device and issue a privilege 15 command to create a local user and password. Following this, the attacker uses the new local account to access the device and exploits an associated privilege escalation vulnerability, CVE-2023-20273, to gain root user privileges.

그림 1: RedMike Cisco network device exploitation infrastructure (Source: Recorded Future)

RedMike가 표적으로 삼은 Cisco 장치의 절반 이상이 미국, 남미, 인도에 있었습니다. 나머지 장치는 100개 이상의 다른 국가에 분포되어 있습니다. 선택된 장치들은 주로 통신 제공업체와 관련이 있지만, 13개는 아르헨티나, 방글라데시, 인도네시아, 말레이시아, 멕시코, 네덜란드, 태국, 미국, 베트남의 대학과 연결되어 있습니다.

첨단 연구에 자주 참여하는 대학들은 중국 국영 위협 활동 그룹이 귀중한 연구 데이터와 지적 재산을 획득하기 위한 주요 표적이 됩니다. 이전 사례로는 생물 의학, 로봇 공학, 해양 연구를 위해 대학을 대상으로 공격한 APT40, 의학 연구를 대상으로 한 RedGolf(APT41), 그리고 학계를 직접 대상으로 한 RedBravo(APT31)가 있습니다. 중국의 사이버 전략은 광범위한 경제 및 군사 목표와 일치하며, 대학을 장기적인 정보 수집 및 기술 획득을 위한 고부가가치 표적으로 만들고 있습니다.

RedMike는 통신, 엔지니어링 및 기술과 관련된 연구에 접근하기 위해 UCLA 및 TU Delft 등 다음과 같은 대학을 표적으로 삼았을 가능성이 있습니다.

• University of California, Los Angeles(UCLA) — 미국
• California State University, Office of the Chancellor(CENIC) — 미국
• Loyola Marymount University — 미국
• Utah Tech University — 미국
• Universidad de La Punta — 아르헨티나
• Islamic University of Technology(IUT) — 방글라데시
• Universitas Sebelas Maret — 인도네시아
• Universitas Negeri Malang — 인도네시아
• University of Malaya — 말레이시아
• Universidad Nacional Autonoma — 멕시코
• Technische Universiteit Delft — 네덜란드
• Sripatum University — 태국
• University of Medicine and Pharmacy at Ho Chi Minh City — 베트남

Figure 2: Geographical spread of Cisco devices targeted by RedMike (Source: Recorded Future)

RedMike의 스캐닝 및 악용 활동은 2024년 12월부터 2025년 1월까지 여섯 번 발생했습니다.

• 2024-12-04
• 2024-12-10
• 2024-12-17
• 2024-12-24
• 2025-01-13
• 2025-01-23

인터넷에 노출된 IOS XE 소프트웨어 웹 UI가 있는 Cisco 네트워크 장치를 운영하는 네트워크 관리자는 완화 조치 섹션에 언급된 날짜와 조언을 사용하여 잠재적인 RedMike 악용 활동을 식별할 수 있습니다.

Insikt Group은 인터넷 스캐닝 데이터를 사용하여 웹 UI가 인터넷에 노출된 12,000개 이상의 Cisco 네트워크 장치를 식별했습니다. Insikt Group은 1,000개 이상의 Cisco 장치가 표적이 되었지만, 이 숫자는 노출된 장치의 8%에 불과하며 RedMike가 통신사와 연결된 장치를 선택하여 주기적인 정찰 활동을 했다는 점을 고려할 때 이 활동이 집중적으로 이루어졌을 가능성이 크다고 평가합니다.

침해된 통신 제공업체 장치

Insikt Group은 Recorded Future Network Intelligence를 사용하여 7개의 손상된 Cisco 네트워크 장치가 RedMike 인프라와 통신하는 것을 관찰했습니다. 여기에는 다음과 관련된 장치가 포함됩니다.

• 영국 통신 제공업체의 미국 기반 계열사
• 미국 인터넷 서비스 제공업체(ISP) 및 통신 회사
• 남아프리카 통신 제공업체
• 이탈리아 ISP
• 태국 대형 통신 제공업체

RedMike는 손상된 Cisco 장치와 자신들의 인프라 사이에 GRE 터널을 구성했습니다. GRE는 점대점 연결 내부에 다양한 네트워크 계층 프로토콜을 캡슐화하는 데 사용되는 터널링 프로토콜입니다. 이는 Cisco 네트워크 장치에서 구성할 수 있는 표준 기능입니다. 일반적으로 가상 사설망(VPN)을 생성하고, 서로 다른 네트워크 유형 간의 상호 운용성을 가능하게 하며, IP 네트워크를 통해 멀티캐스트 또는 비 IP 트래픽을 전송하는 데 사용됩니다. 위협 활동 그룹은 GRE 터널을 사용하여 방화벽과 침입 탐지 시스템을 우회하는 은밀한 통신 채널을 설정함으로써 지속성을 유지합니다. 이 터널들은 도난된 데이터를 GRE 패킷에 캡슐화하여 은밀하게 데이터를 유출할 수 있도록 하고, 이를 통해 잠재적으로 네트워크 모니터링을 우회할 수 있습니다.

미얀마 통신 제공업체에 대한 정찰

2024년 12월 중순, RedMike는 Cisco 네트워크 장치를 악용한 것과 동일한 인프라에서 미얀마에 기반을 둔 통신 제공업체인 Mytel이 운영하는 여러 인프라 자산(기업 메일 서버 포함)에 대한 정찰을 수행했습니다.

전체 분석 내용을 읽으려면 여기를 클릭하여 PDF 보고서를 다운로드하세요.