4개 멀티 채널 C2 구조의 Glassworm 봇넷 동시 무력화

Context

개발자 환경을 타겟팅하여 VS Code 확장 프로그램 및 npm, Python 패키지에 침투하는 Supply-chain Attack 발생. 기존 단일 C2 구조의 한계를 넘어 Blockchain 및 Google Calendar 등을 활용한 다중 경로 C2 아키텍처로 탐지와 차단을 회피한 상황.

Technical Solution

• Solana Blockchain의 트랜잭션 Memo 필드에 C2 주소를 인코딩하여 전통적인 도메인/IP 차단 방식 무력화
• Google Calendar 이벤트 제목을 Dead-drop location으로 활용하여 Base64 인코딩된 C2 경로를 동적으로 전달
• BitTorrent DHT(Distributed Hash Table) 및 하드코딩된 Public Key를 통한 분산 설정 데이터 관리로 가용성 확보
• 상용 VPS 기반의 전통적 C2 서버를 최종 Payload 전달 메커니즘으로 사용하는 계층적 구조 설계
• 4개 제어 채널의 동시 타격(Simultaneous Takedown)을 통해 운영자의 재구성 가능성을 원천 차단한 정밀 대응 전략 실행