CastleLoader에서 CastleRAT으로의 진화
사이버 보안 업계는 최근 TAG-150이라는 위협 행위자의 새로운 움직임에 주목하고 있습니다. TAG-150은 원격 접근 트로이 목마(Remote Access Trojan, RAT)인 CastleRAT을 개발하여 기존에 운영하던 CastleLoader 기반의 멀웨어 서비스 생태계를 대대적으로 확장했습니다. 이 악성코드는 Python과 C 두 가지 버전으로 제작되어, 다양한 보안 우회 전략과 공격 방식을 구현할 수 있도록 설계되었습니다. Recorded Future의 보고서에 따르면, TAG-150은 2025년 3월부터 활발히 활동을 시작했으며, 단순한 악성코드 배포를 넘어 복잡한 다계층 인프라와 창의적인 명령제어(C2) 기법을 활용하고 있습니다.
CastleRAT의 주요 기능
CastleRAT은 피해자의 시스템 정보 수집, 추가 악성 페이로드 다운로드, 원격 명령 실행 등 다목적 기능을 갖춘 고급 악성코드입니다. 특히, 공격자는 이를 통해 표적 시스템을 장기간 장악하고, 네트워크 내부로 확산시키며, 보안 솔루션을 교란할 수 있습니다. 이 과정에서 TAG-150은 고도화된 멀웨어 서비스(MaaS, Malware-as-a-Service) 모델을 적용하여 공격 인프라를 상업적 플랫폼처럼 운영하고 있습니다.
CastleRAT Python vs C 버전 비교
C 버전의 고급 기능
CastleRAT의 C 버전은 기술적으로 매우 정교한 기능을 제공합니다. 이 버전은 키스트로크 기록, 화면 캡처, 지속성 확보 같은 기능을 통해 피해자의 컴퓨터를 장기적으로 제어합니다. 또한, 필요할 경우 자체적으로 시스템에서 제거될 수 있는 자체 삭제(Self-deletion) 기능까지 포함하고 있어 공격 흔적을 최소화합니다. 이러한 고급 기능 덕분에 C 버전은 고급 표적 공격(Advanced Persistent Threat, APT)에서도 활용될 가능성이 큽니다.
Python 버전의 은밀성 전략
반면 Python 버전은 기능보다는 은밀성을 강조했습니다. 이 버전은 안티바이러스 프로그램에 거의 탐지되지 않도록 설계되어, 초기 침투 단계에서 보안 솔루션의 레이더를 피하는 데 최적화되어 있습니다. C 버전은 다수의 탐지 시그니처를 발생시키는 반면, Python 버전은 "탐지율이 거의 0에 가깝다"고 평가됩니다. 따라서 TAG-150은 초기 침투에는 Python 버전을 사용하고, 시스템 내 장악력을 강화해야 할 때는 C 버전으로 전환하는 2단계 공격 전략을 구사합니다.
이중 전략의 의미
이러한 이중 전략은 단순한 멀웨어 배포를 넘어, 공격자가 상황에 따라 전략을 조정할 수 있는 유연한 시스템을 구축했음을 의미합니다. 보안 전문가들은 TAG-150의 접근 방식을 "멀웨어 설계 철학의 진화"로 평가하며, 앞으로의 사이버 공격이 점점 더 다층적이고 교묘해질 것이라고 전망하고 있습니다.
TAG-150의 다계층 인프라 구조
4단계로 구성된 공격 네트워크
TAG-150의 인프라는 총 4단계(Tier)로 구성되어 있으며, 각 단계가 고유한 역할을 수행합니다. 1단계 서버는 피해자와 직접 연결되어 초기 통신과 멀웨어 배포를 담당합니다. 이 단계에서 CastleLoader, SecTopRAT, WarmCookie, CastleRAT 등 여러 악성코드가 운영됩니다.
2·3단계의 보안 강화 및 러시아 IP 활용
2단계와 3단계 서버는 추가적인 명령 계층을 제공하고, 공격자 인프라의 안정성을 높입니다. 특히 3단계는 두 가지 요소로 나뉩니다. 하나는 동일한 TLS 인증서를 공유하는 VPS 서버 클러스터이고, 다른 하나는 러시아 거주지 IP를 통해 상위 및 하위 계층 서버와 통신하는 구조입니다. 이 러시아 IP는 Tox 메신저 프로토콜을 통해 UDP 포트 33445로 정기적으로 연결되어 운영됩니다.
백업 인프라와 보안 허점
4단계 서버는 최종 백업 인프라로서, 고포트 UDP 세션을 유지하며 운영 안정성을 보장합니다. 그러나 보안 연구자들은 이 과정에서 4단계 서버와 CastleLoader 패널 간의 직접적인 통신 흔적을 발견했으며, 이는 TAG-150의 운영 보안(OPSEC)에도 일부 취약점이 존재함을 시사합니다.
Steam 커뮤니티 프로필을 이용한 C2 기술
게임 플랫폼을 악용한 창의적 방식
TAG-150은 Steam 커뮤니티 프로필을 명령제어(C2) 정보 저장소로 활용하는 독창적인 기술을 개발했습니다. 이 방식은 Steam 사용자 프로필 내에 암호화된 데이터를 삽입해 CastleRAT이 새로운 C2 서버 정보를 가져오도록 하는 방식입니다. 보안 분석가들에게는 정상적인 게임 프로필로 보이지만, 실제로는 공격자의 지령이 숨겨져 있는 셈입니다.
탐지 회피 및 신뢰성 확보
이 기술은 전통적인 네트워크 탐지 시스템을 피하고, Steam의 전 세계 콘텐츠 전송망(CDN)을 활용해 안정적인 접근성을 확보할 수 있습니다. 또한, 보안 분석 시 합법적인 게임 커뮤니티 활동으로 위장하기 때문에 공격자에게 부인 가능성(Plausible Deniability)을 제공합니다.
사이버 범죄 전략의 진화
결국 이 기법은 합법적인 온라인 플랫폼이 어떻게 악용될 수 있는지를 보여주며, 앞으로의 사이버 위협이 더욱 복잡해지고 탐지하기 어려워질 것임을 예고합니다. 보안 업계는 이러한 창의적인 공격 벡터를 분석하고 새로운 탐지 기법을 개발하기 위해 지속적으로 협력하고 있습니다.