러시아 연계 해킹 그룹 UNC6353의 '다크소드' 캠페인 요약

* 아래의 글은 보안컨설턴트를 준비하는 대학생이 작성한 글로 주관적인 해석 및 부정확한 정보를 포함할 수 있습니다.

 

러시아 정부 연계 추정 해킹 그룹인 UNC6353이 우크라이나 아이폰 사용자를 표적으로 고도의 해킹 도구 '다크소드(Darksword)'를 유포했다. 구글, 아이베리파이(iVerify), 룩아웃(Lookout)의 공동 분석 결과에 따른 주요 내용은 다음과 같다.

1.  특징 

아이폰 내 비밀번호, 사진, 메시지, 텔레그램 데이터, 브라우저 기록 등 개인 정보를 광범위하게 탈취한다.

장기 잠복하는 기존 스파이웨어와 달리, 감염 직후 데이터를 전송하고 즉시 사라지는 방식이다.

장치 내 데이터 양에 따라 단 몇 분 만에 모든 정보 탈취가 완료되어 보안 탐지를 회피한다.

2. 공격 대상(전략적 목표)

우크라이나 내 특정 사이트에 접속하는 사용자만을 선별하여 감염시키는 방식으로 작전 지역을 철저히 관리한다.

따라서 우크라이나 국가 기밀 및 인물 정보 등 전략적 첩보 수집이 가능하다.

그리고 가상자산 탈취를 통해 공작금 마련 및 일반 범죄 조직으로 위장도 가능하다.

3. 기술적 분석 

다크소드는 이달 초 공개된 해킹 도구 '코루나(Coruna)'와 밀접하게 연결된 변종으로 파악되었다.

'코루나'는 본래 미국 국방 계약업체 L3해리스가 '파이브 아이즈(Five Eyes)'를 위해 개발한 도구다.

이 서방 정부용 기술이 러시아 및 중국 사이버 범죄자들에게 유출된 정황이 확인되었다.

4. 주요 타임라인

2025년 7월: UNC6353이 우크라이나 웹사이트 내 워터링 홀(Watering hole) 공격에 '코루나' 사용

Apple이 CVE-2025-31277(iOS 18.6) 등 취약점 수정

2025년 11월: UNC6748이 iOS 18.6 지원 다크소드를 사용함. 사우디아라비아 내 Snapchat 테마 웹사이트(iOS 18.4 지원)에서도 탐지

2025년 12월: 우크라이나 내 UNC6353의 새로운 워터링 홀 캠페인 초기 징후 포착

2026년 1월: 말레이시아에서 'PARS Defense'의 다크소드 로더 사용 확인.

Apple이 CVE-2025-43529 등 취약점 수정(iOS 18.7.3, 26.2)

2026년 3월: UNC6353이 iOS 18.4~18.6을 지원하는 다크소드를 새로운 워터링 홀 캠페인에 사용 중임을 최종 확인됨.

Apple은 CVE-2026-20700(iOS 26.3) 취약점 수정.

출처: 구글 클라우드 세큐리티

 

 

https://www.boannews.com/media/view.asp?idx=142721

미국 국방 무기가 러시아 스파이 손에… ‘코루나’ 이어 ‘다크소드’까지 아이폰 침투 도구

https://cloud.google.com/blog/topics/threat-intelligence/darksword-ios-exploit-chain?hl=en

The Proliferation of DarkSword: iOS Exploit Chain Adopted by Multiple Threat Actors | Google Cloud Blog

https://cloud.google.com/blog/topics/threat-intelligence/coruna-powerful-ios-exploit-kit?hl=en

Coruna: The Mysterious Journey of a Powerful iOS Exploit Kit | Google Cloud Blog