카스퍼스키, 대규모 표적형 스파이웨어 공격 연구보고서 공개

글로벌 사이버 보안 리더 카스퍼스키는 19일 2025년 3월 발견된 구글 크롬의 제로데이 취약점을 악용한 대규모 표적형 스파이웨어 공격인 ‘오퍼레이션 포럼트롤’의 전체 공격 흐름과 이를 통해 확인된 이탈리아 상업용 스파이웨어 ‘단테(Dante)’의 정체를 상세 분석한 연구 보고서를 공개했다.

이번 캠페인은 사용자가 개인화된 피싱 이메일 속 링크를 클릭하는 ‘단 한 번의 방문’만으로 감염이 시작되는 고도화된 공격 방식으로 이루어졌다. 사용자가 악성 링크를 클릭해 웹사이트에 접속하기만 해도, 별도의 추가 동작은 필요하지 않았으며, 구글 크롬 또는 크로니움 기반 브라우저의 샌드박스를 무력화하는 제로데이 취약점이 자동 실행되는 구조였다.

이 링크들은 극단적으로 짧은 수명을 갖도록 설계되어 탐지를 회피했지만, 카스퍼스키 기술은 구글 크롬 샌드박스를 탈출하는 정교한 제로데이 익스플로잇을 식별해냈다. 신속한 분석 후 구글 보안팀에 해당 취약점을 보고했고, 이는 CVE-2025-2783으로 패치되었다.

오퍼레이션 포럼트롤 공격은 러시아의 주요 학술·언론·정부·금융기관 종사자들을 대상으로 ‘프리마코브 리딩스’ 포럼 초청장을 사칭한 고도로 정교한 피싱 이메일로 시작되었다. 이메일은 러시아어 사용에 능숙한 공격자의 특징이 반영되어 자연스럽게 작성됐으며, 각 수신자에게 맞춘 개인화된 링크를 포함해 감염 여부 추적 또한 가능했다.

카스퍼스키 연구진은 이 공격 활동을 분석하는 과정에서, 동일 위협행위자 그룹이 2022년 이후 러시아·벨라루스 내 여러 조직을 상대로 유사한 공격을 수행한 기록을 추적해냈다. 또한 분석 과정에서 정체가 밝혀지지 않았던 고급형 상업용 스파이웨어가 발견되었고, 이는 이탈리아 업체 메멘토 랩스(구 Hacking Team)가 개발한 상업용 스파이웨어 ‘단테’로 식별되었다.

오퍼레이션 포럼트롤의 모든 확인된 사례에서 감염은 피해자가 스피어 피싱 이메일 내 링크를 클릭해 악성 웹사이트로 이동하면서 시작됐다. 해당 웹사이트는 방문자를 검증한 뒤 익스플로잇을 실행했다. 캠페인을 처음 발견해 분석을 시작했을 때, 악성 웹사이트는 이미 감염 코드를 제거한 상태였으며 방문자를 공식 프리마코브 리딩스 사이트로 리디렉션만 시키고 있었다. 이 때문에 카스퍼스키는 첫 번째 감염 사례에서 확보된 공격 아티팩트만으로 분석을 진행해야 했다. 다행히 카스퍼스키 기술이 공격의 거의 모든 주요 단계를 탐지해 오퍼레이션 포럼트롤 공격 체인을 재구성하는 데 성공했다.