2022년 9월, 퀵힐社는 인도 방위군과 국군 장병을 대상으로 한 비밀 절도 작전을 올개하고 작전명을 SideCopy로 명명했다. 캠페인의 거의 모든 C2 자산이 Contabo GmbH(서유럽에 기반을 둔 인터넷 서비스 제공업체)에 속했기 때문에 서버 이름이 공개된 Transparent Tribe APT 조직 보고서의 이름과 유사했으며 Side Copy가 Transparent Tribe로 공격을 받았다. 대상은 모두 인도 국방부 이기 때문에 퀵힐은 조직이 Transparent Tribe와 연결되었을 수 있다고 생각한다.
이후 中보안업체 치안신은 인도 군대에 대한 공격 활동을 발견했으며, 해당 샘플은 Transparent Tribe과 약하게 나마 관련이 있었다. 이후 보안업체 Cyble社 연구원 또한 유사도가 매우 높은 샘플을 찾아 SideCopy 조직에 이를 귀속시켰다.
Transparent Tribe는 2016년 2월 Proofpoint에 의해 공개 및 명명되었다. 이 조직은 ProjectM, C-Major라고도 하며 남아시아 국가 출신을 널리 알려졌다. 초기 활동은 2012년으로 거슬러 올라가는데 주로 인도 정부, 군대 또는 관련 조직을 대상으로 하고 사회 공학을 사용하여 스피어피싱 공격을 수행한다.
SideCopy 조직은 적어도 2019년부터 활동했다. Transparent Tribe 조직이 있는 남아시아 국가에 속해있으며 주로 남아시아 국가의 방위군과 군인을 표적으로 정보를 탈취한다. 이 조직은 보안담당자를 혼란스럽게 하기 위해 Sidewinder APT 조직의 공격방법을 모방하여 자체 악성코드를 배포하기도 한다.
최근 치안신은 일일 위협 헌팅 중 인도 국방 장교에 대한 Transparent Tribe 조직의 공격 샘플을 확보했다. 심층 분석에 따르면 Transparent Tribe 조직과 SideCopy는 실제로 네트워크 인프라를 공유하고 있으며 이 둘은 통합 조직에 속하거나 더 큰 관계일 수 있다고 분석하고 있다.
[출처 : 中보안매체 / 3.14.]