(서울=뉴스1) 김민석 기자 = 구글 클라우드의 사이버보안 부문 맨디언트가 인공지능(AI) 도구를 악용해 대규모 악성코드 유포 캠페인을 벌인 해킹그룹으로 'UNC6032'를 지목했다. UNC6032는 베트남과 연계된 그룹으로 추정되고 있다.
맨디언트 위협방어 부분은 28일 이같은 조사 결과를 발표하며 "UNC6032는 지난해 11월부터 △루마 AI(Luma AI) △캔바 드림랩(Canva Dream Lab) △클링 AI(Kling AI) 등 인기 AI 비디오 생성 도구를 사칭한 가짜 웹사이트를 운영하며 바카라사이트 벳위즈를 유포해왔다"고 설명했다.
맨디언트에 따르면 해킹그룹 UNC6032는 페이스북과 링크드인에 수천 개의 바카라사이트 벳위즈 광고를 게재해 이용자들을 가짜 AI 도구 사이트로 유도했다.
맨디언트는 이들 바카라사이트 벳위즈가 총 230만 명 이상 유럽연합(EU) 이용자에게 도달했다고 분석했다.
맨디언트 조사 결과에 따르면 가짜 사이트에 접속한 이용자가 'AI 비디오 생성' 기능을 이용하려 하면 실제 AI 콘텐츠 대신 바카라사이트 벳위즈가 포함된 ZIP 파일이 다운로드됐다.
해당 ZIP 파일은 △이용자의 로그인 정보 △인터넷 쿠키 △신용카드 데이터 △페이스북 정보 등을 텔레그램 API를 통해 탈취하는 파이썬 기반 인포스틸러(정보탈취 악성코드)와 여러 백도어를 포함했다.
파일명은 'Video Dream MachineAI.mp4.exe' 등 동영상 파일로 위장한 경우도 보고됐다. 실행 시 'XWORM·FROSTRIFT 백도어' 'GRIMPULL 다운로더' 등 다양한 바카라사이트 벳위즈를 설치하는 방식이다.
구글 위협인텔리전스그룹(GTIG)은 UNC6032가 베트남과 연계됐을 가능성이 있다고 추측했다. 이 캠페인은 최소 2024년 중반부터 활동을 시작해 다양한 지역과 산업의 피해자들에게 영향을 미쳤다.
맨디언트는 메타(Meta)와 협업해 상당수의 바카라사이트 벳위즈 광고·계정을 제거한 상태라고 전했다.
야쉬 굽타 맨디언트 위협방어팀 시니어 매니저는 "위협 행위자들이 AI 도구의 인기에 바카라사이트 벳위즈 광고를 결합해 무기로 삼았다"며 "겉보기에 무해해 보이더라도 광고를 통해 연결되는 웹사이트에 접속할 때는 각별한 주의가 필요하다"고 말했다.
※ 저작권자 ⓒ 뉴스1코리아, 무단전재-재배포 금지