---
title: "무스탕판다, 조호 워크드라이브로 인도 정부 침투…정상 클라우드 트래픽에 악성코드 숨김"
published: 2026-06-29T19:05:04.483Z
canonical: https://jeff.news/article/4404
---
# 무스탕판다, 조호 워크드라이브로 인도 정부 침투…정상 클라우드 트래픽에 악성코드 숨김

중국 연계 해킹 조직 무스탕판다가 인도 정부 기관과 수력발전 분야를 겨냥해 새 사이버 첩보 작전을 수행한 정황이 확인됐다. 공격자는 조호 워크드라이브를 지휘통제 채널로 악용했고, 샤드로더·미니리콘·조호머크 등 신규 악성코드 3종을 사용했다.

## 정상 클라우드에 숨어든 지휘통제

- 중국 연계 해킹 조직 무스탕판다가 인도 정부 기관과 수력발전 분야를 겨냥한 새 첩보 작전을 벌인 정황이 나옴
  - 아크로니스 위협연구팀은 인도 정부 기관 내부 시스템 침해와 고위 행정 담당자 컴퓨터 감염 사례를 확인함
  - 사고 확인 뒤 인도 침해사고대응팀과 협력해 피해 기관에 통보하고 대응을 지원했다고 밝힘

- 이번 공격의 핵심은 조호 워크드라이브를 지휘통제 채널로 썼다는 점임
  - 조호 워크드라이브는 인도 정부와 기업에서 널리 쓰는 정상 클라우드 저장 서비스임
  - 공격자는 감염 시스템에 명령을 전달하고 탈취 정보를 외부로 보내는 통로로 이 서비스를 악용함
  - 겉으로는 평범한 클라우드 업무 트래픽처럼 보여서 네트워크 보안 장비가 의심하기 어려움

> [!WARNING]
> 정상 클라우드 서비스가 지휘통제 채널로 쓰이면 차단 기준이 애매해짐. 서비스 자체를 막으면 업무가 멈추고, 그냥 두면 악성 통신이 정상 트래픽에 섞여 지나갈 수 있음.

## 새 악성코드 3종

- 공격에는 샤드로더, 미니리콘, 조호머크라는 신규 악성코드 3종이 쓰임
  - 샤드로더는 정상 서명 프로그램을 이용하는 DLL 사이드로딩 방식으로 실행됨
  - 한 공격에서는 솔리드 PDF 크리에이터, 다른 공격에서는 시트릭스 리시버 실행 파일이 악성 DLL 실행에 이용됨

- 샤드로더는 이후 추가 악성코드를 설치하는 로더 역할을 함
  - 설치 대상은 미니리콘 또는 조호머크임
  - 미니리콘은 IBM 엑스포스가 과거 공개한 톤셸 백도어를 개량한 버전으로, HTTPS 기반 웹소켓 통신으로 공격자 서버와 연결을 유지함

- 조호머크는 이번 공격에서 특히 눈에 띄는 악성코드임
  - 내부에 조호 OAuth 인증정보를 하드코딩해 공격자가 운영하는 워크드라이브 계정에 접속함
  - 특정 폴더에서 공격 명령을 읽고, 탈취 데이터를 다른 폴더에 업로드하는 방식으로 움직임
  - 클라우드 폴더가 사실상 명령함과 수거함 역할을 한 셈임

```mermaid
sequenceDiagram
    participant 공격자
    participant 피싱메일
    participant 감염PC
    participant 조호워크드라이브
    participant 내부자료
    공격자->>피싱메일: 맞춤형 ZIP 미끼 전달
    피싱메일->>감염PC: 숨김 DLL 실행 유도
    감염PC->>조호워크드라이브: OAuth 정보로 명령 폴더 조회
    조호워크드라이브-->>감염PC: 공격 명령 전달
    감염PC->>내부자료: 정책·협력 문서 수집
    감염PC->>조호워크드라이브: 탈취 데이터 업로드
```

## 표적과 단서

- 공격자는 인도 수력발전 정책과 인도·대만 안보 협력 정보를 노린 것으로 분석됨
  - 두 공격 모두 ZIP 압축파일 형태로 전달됐고 악성 DLL은 숨김 속성으로 설정돼 있었음
  - 미끼 문서는 인도 수력발전 협력 제안서, 인도와 대만 기관 간 양해각서 관련 문서처럼 표적 업무에 맞춰져 있었음

- 공격자 쪽 실수도 꽤 많이 남음
  - 악성코드 내부에 인증 토큰과 식별자가 평문으로 저장돼 있었음
  - 기존 공격에서 쓰던 서버 인프라를 재사용했고, IBM 엑스포스가 과거 무스탕판다와 연결한 서버 대역도 다시 확인됨
  - 여러 악성코드에서 RunOnce를 RunOnece로 잘못 쓰는 동일한 오타가 반복됨

- 실제 악성코드 외부 통신은 6월 12일부터 22일까지 확인됨
  - 무스탕판다는 최근 인도를 계속 겨냥하고 있고, 지난 4월에는 인도 금융권과 한국 정책기관을 대상으로 로터스라이트 백도어 공격도 확인된 바 있음
  - 당시에도 정상 클라우드 서비스를 이용해 악성 통신을 숨기는 기법이 쓰였음

---

## 기술 맥락

- 이번 공격에서 중요한 선택은 별도 악성 서버를 세우는 대신 조호 워크드라이브를 통신 경로로 쓴 거예요. 보안 장비는 보통 알려진 악성 도메인이나 수상한 서버 통신을 잡는 데 강한데, 정상 SaaS 트래픽 안에 명령과 탈취 데이터가 섞이면 판단이 훨씬 어려워져요.

- DLL 사이드로딩도 같은 맥락이에요. 처음부터 낯선 실행 파일을 띄우면 걸릴 확률이 높으니, 정상 서명 프로그램을 앞세우고 옆에 악성 DLL을 붙여 실행 흐름을 빼앗는 방식이에요.

- 조호머크가 OAuth 정보를 하드코딩했다는 점은 운영 편의성과 노출 위험을 동시에 보여줘요. 공격자 입장에서는 감염된 PC가 바로 클라우드 계정에 붙을 수 있어 편하지만, 분석가가 샘플을 확보하면 토큰과 계정 흔적이 공격자 식별 단서가 돼요.

- 방어 쪽에서는 클라우드 서비스 허용 여부만 볼 게 아니라, 사용 계정·폴더 접근 패턴·업로드 주기·비정상 OAuth 사용을 같이 봐야 해요. 정상 서비스라도 업무 맥락과 다른 자동화 접근이 반복되면 공격 신호일 수 있거든요.

## 핵심 포인트

- 조호 워크드라이브를 지휘통제 채널로 사용해 악성 통신을 업무 트래픽처럼 위장함
- 샤드로더는 DLL 사이드로딩으로 실행되고 미니리콘 또는 조호머크를 설치함
- 조호머크는 하드코딩된 OAuth 인증정보로 워크드라이브 폴더에서 명령을 읽고 데이터를 업로드함
- 공격자는 인도 수력발전 정책과 인도·대만 안보 협력 정보를 노린 것으로 분석됨
- RunOnce를 RunOnece로 잘못 쓰는 오타와 인프라 재사용이 공격자 식별 단서가 됨

## 인사이트

정상 클라우드 서비스를 지휘통제 채널로 쓰는 공격은 보안 장비 입장에서 점점 골치 아파지고 있음. 한국 정책기관도 과거 유사 캠페인 표적에 들어간 만큼, 이건 남의 나라 첩보 뉴스로만 볼 일이 아니다.