SHEETCREEP, FIREPOWER, 및 MAILCREEP를 이용한 APT 공격이 인도 정부를 겨냥하다 | 2부

시트 공격(Sheet Attack) 캠페인은 구글 시트를 명령 및 제어 채널로 활용하는 악성 작전으로, 이 지역에서는 흔치 않은 전술입니다. 2025년 9월, Zscaler ThreatLabz는 시트 공격 캠페인을 지원하는 데 사용되는 세 가지 추가 백도어인 SHEETCREEP, FIREPOWER, MAILCREEP를 발견했습니다. 이 캠페인은 보안 통제를 우회하고 탐지를 피하기 위해 구글 및 마이크로소프트와 같은 합법적인 클라우드 서비스를 사용한다는 점에서 두드러집니다. 이 백도어들은 파일을 유출하고 이메일을 조작할 수 있는 경량 악성코드를 배포하는 데 사용됩니다. ThreatLabz는 악성코드 내에서 생성형 AI가 개발 과정에 사용되었음을 강력하게 시사하는 몇 가지 높은 신뢰도의 지문을 식별했습니다. 시트 공격 캠페인은 APT36 위협 그룹과 유사점을 공유하지만, 새로운 하위 그룹 또는 파키스탄과 연계된 별도의 그룹에서 시작된 것으로 추정됩니다. 이 캠페인은 2025년 11월부터 활동해 왔으며, 다양한 프로그래밍 언어로 작성된 새로운 백도어를 도입했습니다. 위협 행위자들은 또한 PowerShell 기반 문서 탈취기와 Golang으로 개발된 백도어인 MAILCREEP를 포함한 추가 페이로드를 배포했습니다. 악성코드 개발에 생성형 AI를 사용하는 것은 증가하는 추세이며, 시트 공격 캠페인은 이러한 추세의 한 예입니다. 위협 행위자들이 초기 감염 벡터로 PDF에서 악성 LNK 파일로 전환하는 등 캠페인의 전술과 기법은 시간이 지남에 따라 발전해 왔습니다.