swuforce

[기술스터디] Story of H2 2023: A Deep Dive into Data Leakage and Commerce in Chinese Telegram Channels

범호야 2025. 9. 23. 21:57

2023 하반기에 중국 텔레그램 채널에서 부정적 영향을 받은 기업과 기관의 수는 620개로 확인되었다.

기존 중국 사이버 위협은 주로 QQ 및 딥웹 포럼과 연관되었었지만, 최근에는 텔레그램에서의 위협으로 증가하였다. 

QQ
텐센트 QQ(Tencent QQ)는 중국 기술 기업 텐센트가 개발한 인스턴트 메시징 소프트웨어 서비스이자 웹 포털. QQ는 온라인 소셜 게임, 음악, 쇼핑, 마이크로블로깅, 영화, 그룹 및 음성 채팅 소프트웨어 서비스를 제공.
딥웹포럼(DDW)
사이버 보안 분야에서 주로 사용되는 약자로, 딥웹(Deep Web)과 다크웹(Dark Web), 그리고 언더그라운드 포럼(Underground Forum)**을 모두 포괄하는 용어.
일반 검색 엔진에 노출되지 않는 인터넷의 영역을 통칭.
(중국 대표 DDW : BreachForums)
BreachForums
2023년, 인도의 시중 은행 A은행의 내부 자료가 유출되어 BreachForums 해킹 포럼에서 판매되고 있는 정황이 포착되었다.
중국의 유명 기업 텐센트가 소유하고 있는 글로벌 메신저 W****의 내부 자료가 유출되어 BreachForums에서 판매되고 있는 정황이 포착되었다. 
QQ  텔레그램 
사용자가 키워드 입력 검색과 식별을 통해 특정 그룹을 검색 검색을 통해 채널 검색 및 정보 검색이 용이
채팅방 이용에 제약 ->  회원가입을 신청하거나 직접 초대를 받도록 요구
사용자가 빠르게 채널에 진입할수 있는 환경 -> 채널 간 프로모션

 

위협 게시물 특징

  • 판매(82.9%)가 가장 많았고,
  • 데이터 유출(12.9%), 공격 확인(4.2%)이 뒤를 이음.
  • 활동은 7월~8월 정점 이후 점차 감소.
    • 특히 🇭🇰湾** 채널이 7월 268건, 8월 187건을 올리며 평균치를 끌어올림 → 이후 활동 급감.
  • 최근엔 공개 채널 대신 DM/비공개 채널 거래 선호 추세.

주요 표적 산업

  • 전자상거래, 금융, 정부 순으로 많이 노출됨.
  • 판매 중심: 전자상거래
  • 유출 중심: 정부
  • 전자상거래 데이터는 이메일, 결제정보, 구매내역 등 마케팅·피싱 활용 가능성이 높음.

주요 피해 국가

  • 상위 10개국이 전체 피해의 70% 이상
  • 1위는 대만, 이어 다수 아시아 국가가 피해 상위권.
  • 중국 공격자들은 자국 정부 웹사이트는 시연 목적 외 실제 유출·판매는 거의 하지 않음.

활동이 두드러진 조직

  • 古龙: SuperSQLInjectionV1 활용, SQL 주입으로 다국적 웹사이트 데이터 판매. VIP 채널 운영.
  • Darkn: 정부/기업 데이터 유출로 기술 과시, 10월突 활동 중단.
  • 활발한 사용자 @metas, @heida: 취약점·공격도구 공유, 일본 오염수 방류 관련 ‘OpJapan’ 캠페인 선동.

자주 사용된 도구

  • XRAY (중국산 취약점 스캐너), FOFA (중국판 Shodan),
  • SQL 주입 도구: SuperSQLInjectionV1, SQLMap, SQLi Dumper 등.

주요 이슈 반응

  • 중국 후왕(护网) 캠페인: 취약점·HW 관련 논의 활발, 보안 참여 열기.
  • 일본 오염수 방류: 공격 선동, 실제 사이버 공격 동반.
  • 이스라엘-팔레스타인 분쟁: 언급은 활발했으나 직접적 행동은 제한적.

결론

  • 위협 게시물은 줄었지만 커뮤니티 규모·네트워크 연결성은 확대 → 사용자 간 교류·정보 확산 빨라짐.
  • 공개 게시물 감소 = 거래가 비공개화·고객 확보 중심으로 전환.
  • 중국 관련 이슈(후왕 캠페인, 일본 오염수 등)엔 실질적 공격 참여가 뚜렷.
  • 2024년엔 예상치 못한 위협 패턴이 나타날 수 있어 지속적 모니터링과 기업 간 협력 강화가 권고됨.

 Oracle 채널의 한국 웹사이트를 대상으로 한 공격 도구 분석 -  SuperSQLInjectionV1 

 

GitHub - shack2/SuperSQLInjectionV1: 超级SQL注入工具(SSQLInjection)是一款基于HTTP协议自组包的SQL注入工

超级SQL注入工具(SSQLInjection)是一款基于HTTP协议自组包的SQL注入工具,采用C#开发,直接操作TCP会话来进行HTTP交互,支持出现在HTTP协议任意位置的SQL注入,支持各种类型的SQL注入,支持HTTPS模式

github.com

 

  • 임의 위치의 SQL 인젝션 지원 – HTTP 요청 내 어디서든 발생하는 인젝션을 처리 가능.
  • 자동·수동 인젝션 마커 식별 – 자동으로 취약 지점을 탐지하거나 사용자가 직접 지정 가능.
  • 다국어 환경 지원 – 다수의 기존 도구들이 블라인드 인젝션 시 중국어 등 다중 바이트 문자를 가져오지 못하는 문제를 해결.
  • 인젝션 요청 로그 기록 – 패킷 기록을 통해 도구의 동작 방식을 이해하고 문제 해결·학습에 도움.
  • 키워드/시간 기반 블라인드 인젝션 – HTTP 상태 코드나 키워드 반전 기능을 활용하여 데이터 판별 가능.
  • 자체 코드로 HTTP 요청 처리 – 빠른 패킷 전송 및 응답 수집 속도 제공.

 

 

[출처] https://medium.com/s2wblog/story-of-h2-2023-a-deep-dive-into-data-leakage-and-commerce-in-chinese-telegram-channels-english-1e37eebee8c0

 

Story of H2 2023: A Deep Dive into Data Leakage and Commerce in Chinese Telegram Channels (English…

Story of H2 2023: A Deep Dive into Data Leakage and Commerce in Chinese Telegram Channels (English ver.)

medium.com