🟡 🛡️ 보안 게시일: · 3 분 읽기 ·

Microsoft Project Ire, 새로운 LOTUSLITE 변종 자율 탐지 — 72개 벤더 중 1개만 반응

편집 일러스트: 악성코드 역방향 분석을 위한 Microsoft의 자율 AI 시스템 Project Ire

Microsoft의 자율 LLM 에이전트 Project Ire가 지금까지 알려지지 않은 LOTUSLITE 악성코드 변종을 식별했습니다. 발견 당시 72개 보안 벤더 중 단 하나만이 이를 탐지했습니다. Ire는 어떠한 인간의 개입이나 컨텍스트 메타데이터 없이 순수 정적 역방향 분석만으로 작동합니다.

🤖

이 기사는 AI가 1차 출처를 기반으로 생성했습니다.

Microsoft 연구팀은 2026년 6월 12일, 고급 위협 탐지의 패러다임을 바꾸는 프로젝트에 대한 새로운 세부 사항을 발표했습니다: Project Ire, 정적 역방향 분석만으로 작동하는 자율 악성코드 분류 에이전트로, 인간 분석가 없이, 샘플에 대한 어떠한 메타데이터도 없이 운영됩니다.

바이너리 코드를 역방향 분석하는 자율 에이전트

Project Ire는 산업용 디스어셈블러 및 바이너리 분석 도구와 결합된 대형 언어 모델을 사용하여 알려지지 않은 악성코드 샘플을 자율적으로 분해합니다. 에이전트는 파일의 출처, 공격 대상 또는 이전 분류에 대한 어떠한 입력 정보도 받지 않습니다. 유일한 입력은 바이너리 파일 자체이며, 유일한 출력은 설치 절차, C2 명령 구조 및 코드 난독화 기법을 포함한 상세 행동 보고서입니다.

이 접근 방식은 현대 사이버 보안의 가장 큰 과제 중 하나를 직접적으로 해결합니다: 악성코드 제작자들은 시그니처 탐지를 회피하기 위해 침해 지표(IOC)를 지속적으로 교체합니다. 기존 안티바이러스 시스템이 알려진 해시 값과 IP 주소를 검색하는 동안, Ire는 코드의 동작을 분석합니다. 이를 통해 공개된 IOC 중 일치하는 것이 없더라도 변종을 인식할 수 있습니다.

LOTUSLITE란 무엇이며 Ire는 어떻게 이를 인식했는가?

LOTUSLITE는 Acronis가 문서화하고 중간 수준의 신뢰도로 Mustang Panda 그룹에 귀속시킨 Windows DLL 백도어입니다. 로더와 DLL이 분리된 아키텍처, 커스텀 바이너리 프로토콜을 사용하는 C2 서버와의 HTTPS 통신, 파이프를 통해 구현된 인터랙티브 셸, HKCU Run 키를 통한 Windows 레지스트리 지속성이 특징입니다. C2 서버로의 트래픽은 Google 및 Microsoft 서비스와의 합법적인 통신으로 위장됩니다.

2026년 5월 28일, Project Ire는 SHA-256 해시 47e51e82229e80a387c3cb100d39d3705e6360bbf9bfa1601dbc484e8d02e653 — 크기 253 KB의 PE DLL 파일 — 샘플을 분석했습니다. 그 당시 72개 보안 벤더 중 단 1개만이 해당 샘플을 악성으로 표시했습니다. 6월 4일까지 이 숫자는 70개 벤더 중 7개로 증가했으나, 여전히 극히 낮은 비율입니다. 탐지하지 못한 벤더 중에는 CrowdStrike Falcon, SentinelOne, Sophos, Trellix, Palo Alto Networks, ESET이 포함됩니다.

Ire는 알려진 IOC와의 어떠한 겹침도 없이 행동 시그니처를 기반으로 LOTUSLITE 변종임을 결론지었습니다. 이전에 문서화된 샘플과의 주요 차이점은 다음과 같습니다:

  • 설치 디렉터리: C:\ProgramData\SmartPrint\ (Technology360NB 대신)
  • 지속성을 위한 레지스트리 키: DadaBank (Lite360 대신)
  • C2 매직 DWORD: 0xB2EBCFDF (0x8899AABB 대신)

이러한 차이점들 — 공격자에 의한 의도적인 교체 — 은 시그니처 탐지 시스템을 완전히 무력화할 것입니다. 리터럴 값이 아닌 코드의 의미론을 분석하는 Ire에게는 이것이 장애물이 되지 않습니다.

귀속: 내장 문자열에 대한 주의

바이너리 파일 내에서 난독화되지 않은 문자열 BelievemeIamMustang-Panda가 발견되었습니다. Acronis는 인프라와 전술, 기법, 절차(TTP)를 기반으로 LOTUSLITE 계열을 Mustang Panda 그룹에 귀속시켰습니다. 그러나 Microsoft 연구팀은 독자적인 귀속을 명시적으로 자제했습니다.

그 이유는 명확합니다: 내장된 귀속 문자열은 의도적인 허위 정보일 수 있습니다 — LLM 분석을 사용하는 자동화 시스템을 현혹하기 위해 설계된 이른바 허위 깃발(false flag). Ire는 이 위험을 인식하도록 설계되었습니다: 에이전트는 공격자가 심어놓을 수 있는 메타데이터나 문자열이 아닌, 순수한 바이너리 동작에만 기반한 증거 체인을 구축합니다.

보안 산업에 대한 시사점

Project Ire는 프로덕션 보안 컨텍스트에서 LLM 기반 정적 역방향 엔지니어링의 실용적 적용을 보여줍니다. 몇 가지 결론이 특히 중요합니다.

첫째, 시그니처 탐지는 동일한 악성코드 계열의 변종에 대해 구조적 결함을 가집니다: 공격자가 몇 가지 상수만 바꾸면 거의 모든 상업용 EDR 시스템을 통과합니다. 최초 스캔 시 1.4%의 벤더만이 탐지한 샘플이 이를 명확히 보여줍니다.

둘째, 행동 분석은 자율적으로 확장됩니다 — Ire는 분석가의 개입 없이 수천 개의 샘플을 처리할 수 있습니다. 셋째, 이 프로젝트는 LLM 에이전트가 비구조적인 메모가 아닌 법적으로 사용 가능한 증거 체인을 생산할 수 있음을 보여줍니다.

Project Ire는 인간 연구자를 대체하는 것이 아니라 역량의 배증기입니다. 분석가들이 우선순위가 높은 인시던트를 처리하는 동안, Ire는 그렇지 않으면 수일 또는 수주를 기다려야 하는 의심스러운 샘플의 긴 꼬리를 처리합니다 — 그 사이에도 피해자 시스템에서 활성 위협으로 남아있는 샘플들을.

자주 묻는 질문

Microsoft Project Ire란 무엇입니까?
Project Ire는 Microsoft의 대형 언어 모델 기반 자율 에이전트로, 인간의 감독이나 샘플 메타데이터 없이 악성코드의 정적 역방향 분석을 수행합니다.
최초 발견 당시 LOTUSLITE 변종을 탐지한 보안 벤더는 몇 개였습니까?
2026년 5월 28일 최초 발견 당시 72개 보안 벤더 중 단 1개만이 해당 샘플을 악성으로 표시했습니다. 6월 4일까지 이 수치는 70개 벤더 중 겨우 7개로 증가했습니다.
LOTUSLITE는 어떤 해킹 그룹의 소행으로 알려져 있습니까?
Acronis는 LOTUSLITE 계열을 중간 수준의 신뢰도로 Mustang Panda 그룹에 귀속시켰습니다. 그러나 Microsoft Research는 내장된 귀속 문자열이 의도적인 허위 정보일 수 있으므로 독자적인 귀속을 자제했습니다.

📬 AI 뉴스를 받은편지함으로

나만의 방식으로 구성하는 일일 다이제스트 — 주제, 출처, 주기를 선택하세요. 원클릭 해지.