최근 중국, 인도의 APT 해킹 그룹들이 공격 도구를 공유는 것 같다는 가능성이 제기되었다. Anomali의 연구원들은  RTF 공격 도구를 조사하는 동안 여러 그룹이 Microsoft Equation Editor의 CVE-2018-0798 취약점을 이용하기 위해 공격 도구를 업데이트한 것을 확인했다고 발표했다. 

Anomali는 조사하고 있는 공격 도구가 새로운 RTF 공격 기능을 같은 시간에 업데이트한 것을 확인했으며, Goblin Panda, KeyBoy, Emissary Panda, Rancor group, Temp, Trident 공격 그룹들이 이에 해당한다고 밝혔다.

Anomali측이 조사한 바에 따르면, 첫번째 도구는 2017년 12월부터 2018년 12월까지 CVE-2017-11882 및 CVE-2018-0802 취약점을 사용할 수 있었고, 중국에 기반을 둔 APT 공격 그룹이 1년동안 사용하고 그 이후 다른 공격자들이 사용했다. 두번째 도구는 6개월이라는 시간 이후에 다른 공격자들이 사용했다고 말했다. 이것은 공격 도구 제작자가 인도와 주로 중국 국가 해커 그룹에서 더 광범위한 사이버 범죄자 그룹으로 판매 시장을 확장 시켰음을 나타낸다고 발표했다.

[참조] https://www.securityweek.com/multiple-chinese-groups-share-same-rtf-weaponizer?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS+Feed%29

보안관제센터 MIR Team