2023년, '에바시브 판다(Evasive Panda)'로 알려진 중국 기반의 사이버 해킹그룹이 인터넷 서비스 제공업체(ISP)를 해킹하여 악성코드를 유포한 사건이 여러 보안 회사에 의해 보고되었다. 이 그룹은 Bronze Highland, Daggerfly, StormBamboo 등으로도 알려져 있으며, 2012년부터 활동을 이어오고 있다.

볼레시티(Volexity) 연구진에 따르면, Evasive Panda는 DNS 요청을 중독시키는 '중간자 공격(adversary-in-the-middle, AITM)'을 통해 악성코드를 유포했다고 밝혔다. 공격자는 ISP의 인프라를 해킹하여 DNS 요청을 가로채고, 이를 악성 IP 주소로 리디렉션하여 정상 소프트웨어 업데이트 과정에 악성코드를 삽입했다.

악성코드 유포 메커니즘은 디지털 서명을 제대로 검증하지 않는 불안전한 HTTP 업데이트 채널을 악용한 것이었다. 사용자가 소프트웨어를 업데이트하려고 할 때, 정상 업데이트 대신 공격자의 서버에서 악성코드를 다운로드하여 설치하도록 했다. 

Evasive Panda는 주로 윈도우 MgBot(또는 Pocostick)과 맥OS용 Macma를 사용했다. MgBot은 2012년에 처음 문서화된 모듈형 백도어로, 키로깅, 파일 절도, 오디오 스트림 캡처 등의 기능을 포함하고 있다. 이 악성코드는 플러그인 기반 아키텍처를 갖추고 있어 추가 모듈을 다운로드하여 기능을 확장할 수 있다.

Macma는 지속적으로 개발되고 있는 정교한 macOS 백도어로, 최근 버전에는 시스템 정보 수집, 스크린샷 매개 변수 조정, 오디오 녹음 기능 개선 등이 추가되었다. 시만텍은 Macma와 MgBot이 동일한 코드베이스를 공유하고 있어 Evasive Panda가 크로스 플랫폼 악성코드를 개발하는 데 사용하는 커스텀 프레임워크를 사용한다고 밝혔다.

Evasive Panda의 캠페인은 다양한 피해자를 대상으로 했다. 2023년 4월, 이셋 연구진은 텐센트 QQ라는 중국의 인기 메시징 애플리케이션 사용자를 타깃으로 하는 공격을 발견했다. 공격자는 QQ의 업데이트 메커니즘을 악용하여 MgBot을 배포했다. 이 공격의 피해자는 주로 중국의 여러 지방에 위치한 국제 비정부기구(NGO) 회원들이었다.

또 다른 사례로, 시만텍은 Evasive Panda가 대만의 조직과 중국의 미국 NGO를 대상으로 Macma와 새로운 윈도우 악성코드인 Nightdoor를 사용하는 공격을 확인했다. 이러한 캠페인은 그룹의 도구 세트를 지속적으로 향상시키고 탐지를 회피하려는 능력을 보여준다.

Evasive Panda의 정교한 공격 전략과 지속적인 악성코드 개발은 APT 그룹이 제기하는 심각한 위협을 잘 보여준다. ISP와 같은 중요한 인프라를 해킹하여 악성코드를 대량으로 유포하는 해킹 그룹들이 등장하고 있는 만큼 각별한 주의가 요구된다.