- 공식 학술 포털 위장 사이트로 연구자 유인, 악성코드 설치까지 이어지는 고도화 수법 확인
글로벌 사이버 보안 기업 카스퍼스키가 가짜 표절 검사 보고서를 미끼로 러시아 주요 대학과 연구기관 소속 연구자를 노린 표적형 피싱 공격 ‘ForumTroll’ APT를 탐지했다. 이번 공격은 학술 포털을 정교하게 모방한 웹사이트와 사회공학 기법을 결합한 것이 특징이다.
공식 학술 포털 위장, 연구자 직접 겨냥
카스퍼스키 글로벌 연구 분석팀 GReAT는 2025년 10월, ForumTroll이 수행한 새로운 공격 캠페인을 확인했다. 기존 기관 중심 공격에서 벗어나 정치학자, 국제관계 전문가, 경제학자 등 개인 연구자를 직접 표적으로 삼았다는 점이 핵심 변화다.
가짜 표절 보고서 다운로드로 악성코드 설치 유도
공격자는 러시아 공식 학술 포털 elibrary.ru를 모방한 가짜 웹사이트에서 생성한 이메일 주소를 사용해 피싱 메일을 유포했다. 이메일에는 표절 검사 보고서를 확인하라는 문구와 함께 링크가 포함됐으며, 링크를 클릭하면 피해자 이름이 파일명으로 포함된 ZIP 파일이 내려받아졌다.
압축 파일 내부에는 악성코드 설치용 바로가기 파일과 정상 파일로 위장한 이미지 폴더가 함께 포함돼 있었다. 사용자가 바로가기 파일을 실행하면 공격자 서버와 통신해 악성코드가 설치되며, 동시에 흐릿한 PDF 문서가 열려 정상적인 표절 검사 보고서처럼 보이도록 설계됐다.
상용 해킹 도구 ‘Tuoni’ 활용, 장기 침투 가능
최종적으로 설치되는 악성코드는 상용 해킹 도구인 ‘Tuoni’로 확인됐다. 공격자는 이를 통해 피해자 시스템에 원격 접근하고, 내부 네트워크에서 추가적인 악성 행위를 수행할 수 있다. 카스퍼스키는 공격자가 클라우드 기반 명령·제어 인프라를 활용하고, 운영체제별로 다른 메시지를 노출하는 등 분석 회피 기법을 적용한 점도 확인했다.
과거 크롬 취약점·상용 스파이웨어 사용 이력과 연계
ForumTroll은 카스퍼스키가 2025년 3월 최초로 분석한 APT 그룹으로, 당시 CVE-2025-2783으로 추적된 크롬 취약점을 활용한 공격과 연관돼 있다. 또한 SAS 2025에서 이 그룹이 상용 스파이웨어를 사용한 정황도 공개된 바 있다.
학계 겨냥한 사이버 위협 확대 경고
카스퍼스키 GReAT 선임 보안 연구원은 공개된 학술 프로필과 연락처를 보유한 연구자가 고도화된 위협 행위자의 주요 표적이 되고 있다며, 불안감을 자극하는 피싱 메일이 빠른 클릭을 유도하는 데 효과적이라고 설명했다. 개인 기기에 최신 보안 솔루션을 유지하고, 출처가 불분명한 첨부 파일과 링크를 주의 깊게 확인할 필요가 있다는 조언도 덧붙였다.
카스퍼스키 한국지사장은 학계 역시 주요 사이버 공격 표적이 되고 있다며, ForumTroll과 같은 APT 위협에 대비해 학술 커뮤니티 전반의 보안 인식 제고가 필요하다고 언급했다. 이번 조사는 카스퍼스키의 XDR 기반 탐지에서 시작됐으며, ForumTroll은 최소 2022년부터 러시아와 벨라루스 지역을 중심으로 장기간 표적 활동을 이어온 것으로 분석됐다.
#카스퍼스키 #ForumTroll #APT공격 #피싱공격 #학술보안 #사이버위협
