✅ 보고서 제목: 위협 그룹 프로파일링: 실버 폭스(Silver Fox)
✅ 보고서 요약:
📌 실버 폭스(Silver Fox) 그룹은 어떤 조직인가요?
- Silver Fox는 최소 2022년부터 활동을 해온 중국 기반의 위협 그룹으로, 초기에는 금전적인 목적으로 캠페인을 진행했습니다. 이후 2024년부터는 수익성 있는 광범위한 기회주의적 활동 및 스파이 활동을 병행하는 이중 트랙(Dual-track) 작전 모델로 성격을 진화시켰습니다.
- 해당 그룹의 초기에는 중국을 타겟으로 공격을 시작했으나 이후 작전 범위를 대만과 일본으로 확대했습니다. 특히, 대만을 대상으로 국가 세무국을 사칭하거나 현지의 세금 감사 기간에 맞춘 맞춤형 피싱 캠페인을 전개했으며, 현지의 소프트웨어 선호도를 반영한 타이포스쿼팅 기법도 동원되었습니다.
- 이후 2025년에 강화된 ValleyRAT을 중심으로 Silver Fox는 말레이시아, 인도네시아, 싱가포르, 태국, 필리핀 등 동남아시아 전역으로 공격 범위를 대폭 확장했습니다. 대상 산업군 역시 일반 개인 사용자에서부터 의료, 금융, 기업 환경으로 타겟을 넓혀갔습니다.
📌 실버 폭스(Silver Fox) 그룹의 공격 도구
- Malware & Tools
Silver Fox가 사용한 Malware & Tools
| Num | Malware & Tools | Type | Operator |
|---|---|---|---|
| 1 | ValleyRAT (Winos) | RAT | Silver Fox |
| 2 | Nidhogg | Rootkit | Silver Fox |
| 3 | HoldingHands | RAT | Silver Fox |
| 4 | CleverSoar | Installer | Silver Fox |
| 5 | AtlasCross RAT | RAT | Silver Fox |
| 6 | Gh0stCringe | RAT | Silver Fox |
| 7 | PNGPlug | Loader | Silver Fox |
| 8 | Catena | Loader | Silver Fox |
| 9 | Gh0st RAT | RAT | Silver Fox |
- Vulnerability
Silver Fox가 사용하는 취약점은 공개된 바 없습니다.
📌 전술·기법·절차(Tactics, Techniques, and Procedures)
- Silver Fox의 TTPs는 초기 침투에서의 심리적 조작과 시스템 권한 획득 후의 기술적 우회를 효과적으로 결합하고 있습니다. Silver Fox가 사용한 주요 공격 방식에는 Phishing, Impersonation, BYOVD가 존재합니다.
1. 피싱(Phishing)
- Silver Fox 그룹은 초기 침투를 위해 고도로 맞춤화된 스피어 피싱(Spearphishing) 기법을 주력으로 활용하며, 타겟 국가의 시즌성 이슈나 타겟의 업무적 특성에 맞추어 정교하고 다변화된 공격 시나리오를 전개하는 것으로 확인되었습니다.
- Silver Fox의 다양한 국가별 피싱 공격 방식에 대하여 Sekoia와 Knownsec404 등 여러 위협 인텔리전스는 공통된 분석을 내놓고 있습니다. 이들 기관의 관찰에 의하면, Silver Fox 그룹은 세무 조사 안내나 범용 재무 관리 소프트웨어 업데이트 알림 등으로 위장한 이메일을 지속적으로 개발·유포하고 있습니다. 특히 수신자가 이메일을 열람하더라도 단순 링크 외에 위장된 바로가기 파일(LNK)이나 매크로가 삽입된 오피스 문서를 열도록 이중 함정을 설계하며, 이를 통해 사용자 모르게 1차 로더나 드로퍼를 다운로드하도록 치밀하게 유도하고 있습니다.
- 결국 Silver Fox는 대상 사용자의 업무적 컨텍스트와 심리적 허점을 깊이 이해하고 피싱 전술을 고도화 및 정밀화하고 있는 것으로 평가됩니다.
- 특히 최근 관찰된 캠페인에서는 피싱 이메일 내 PDF 클릭 시 myqcloud 버킷 인프라로부터 2단계 페이로드를 다운로드하며, "SyncFutureTec Company Limited"에서 서명한 정상 RMM 도구를 설치하여 내부망에서 지속적인 원격 제어 및 데이터 유출 거점을 확보하는 행태가 포착되었습니다. 이후 2026년 2월 이후에 파이썬 기반 stealer가 배포되어 C:\WhatsAppBackup\WhatsAppData.zip 아티팩트를 남기고 upload_large.php, upload_status.php 경로로 수집 데이터를 업로드한 정황도 확인되었습니다. 이는 Silver Fox의 피싱 캠페인이 RAT, RMM 도구 설치에 그치지 않고, 캠페인 목적에 따라 직접적인 정보 유출 단계로 곧바로 연결될 수 있음을 보여줍니다.
2. 사칭 및 위장(Impersonation)
- Silver Fox 그룹은 타겟 사용자가 자주 사용하는 신뢰도 높은 소프트웨어나 업무용 문서로 정교하게 위장하여 시스템 내부에 침투하는 사칭 및 위장(Impersonation) 전술을 매우 공격적으로 전개합니다.
- 이들은 대중적인 응용 프로그램의 설치 파일부터 산업 특화 문서까지 폭넓은 대상을 사칭하여 악성코드를 배포하고 있습니다.
- Hexastrike의 위협 인텔리전스 보고서에 따르면, Silver Fox는 사용자들이 널리 사용하는 글로벌 브랜드 소프트웨어의 도메인을 타이포스쿼팅(Typosquatting)하여 정교한 가짜 웹사이트 네트워크를 구축했습니다.
- 특히 보안과 프라이버시를 중시하는 타겟을 겨냥해 Surfshark와 같은 유명 VPN 클라이언트를 비롯하여 Signal, Telegram 등 암호화 메신저, Zoom 및 Microsoft Teams와 같은 화상 회의 도구를 완벽히 사칭하는 수법을 보였습니다. 주목할 점은 이들이 단순히 유사한 도메인을 개설하는 데 그치지 않고, SEO Poisoning 기법을 적극적으로 악용했다는 점입니다.
- 공격자들은 주요 검색 엔진의 결과 최상단에 자신들의 위조된 다운로드 페이지를 지속적으로 노출시킴으로써, 사용자가 정상적인 소프트웨어를 검색하고 클릭하는 자연스러운 과정 속에서 은밀하고 강력한 AtlasCross RAT을 스스로 다운로드하도록 유인하는 완벽한 공격 체인을 완성했습니다.
- AtlasCross RAT은 내부망 확산을 위해 RDP 세션 하이재킹(tscon.exe) 기능을 갖추고 있으며, 사내 신뢰 관계를 악용하기 위해 WeChat 애플리케이션에 악성 DLL을 인젝션하여 다른 계정으로의 확산을 꾀합니다.
3. BYOVD(Bring Your Own Vulnerable Driver)
- Silver Fox 그룹은 백신(AV) 및 EDR과 같은 최신 엔드포인트 보안 솔루션들을 무력화하기 위해 사전에 서명된 정상 취약 드라이버를 악용하는 BYOVD(Bring Your Own Vulnerable Driver) 기법을 매우 정교하고 집요하게 구사합니다. 이들은 초기 침투에 성공한 뒤, 커널(Kernel) 권한으로 구동되는 보안 프로세스를 직접 종료시키기 위해 합법적인 디지털 서명을 가진 구형 드라이버나 타사 보안 로직에 결함이 있는 덜 알려진 드라이버들을 공격 무기로 사용합니다.
📌 최근 발생 이슈
- Silver Fox 와 연관성 있는 2023년부터 현재까지 주요 이슈 목록은 아래 링크를 통해 문의해 주시기 바랍니다.
✅ 위협 탐지 권장 사항 및 조치 방안:
- 초기 침투 경로(이메일, 위장 도메인)에 대한 통제를 강화하고, BYOVD에 대응하여 Windows 취약 드라이버 차단 정책을 활성화하며 EDR의 커널 레벨 방어(PPL 보호)를 점검하고, 화이트리스트 기반의 애플리케이션 제어를 적용하여 악성코드 실행 환경을 최소화하는 다층적 대응이 필요합니다.
🧑💻 보고서 작성자: S2W TALON
👉 보고서 전문 문의하기: https://s2w.inc/ko/contact
*해당 보고서는 별도 문의 가능하며, S2W의 플랫폼 구독 시 전문으로 제공됩니다.