시그니처가 놓친 LOTUSLITE 변종, Microsoft Ire가 단일 분석으로 포착

시그니처 목록 밖으로 비켜난 악성코드를 LLM 기반 분석 agent가 한 번의 정적 분석으로 잡아냈다. Microsoft Research가 2026년 6월 12일 공개한 사례에서 Project Ire는 LOTUSLITE 계열 Windows DLL 백도어 변종을 사용자 개입 없이 분석했고, 당시 주요 EDR 다수가 놓치던 샘플에 악성 판정을 내렸다.

Microsoft Research 글에 따르면 대상 파일은 SHA-256 47e51e82229e80a387c3cb100d39d3705e6360bbf9bfa1601dbc484e8d02e653인 253 KB PE DLL이다. Microsoft가 5월 28일 VirusTotal에서 확인했을 때는 72개 벤더 중 1곳만 악성으로 탐지했고, 6월 4일에도 70곳 중 7곳만 탐지했다. CrowdStrike Falcon, SentinelOne, Sophos, Trellix, Palo Alto, ESET은 당시에도 탐지하지 못했다고 글은 적었다.

Project Ire가 의미 있는 이유는 이름이나 해시를 맞힌 것이 아니라 행동을 재구성했다는 점이다. Ire는 decompiler와 바이너리 분석 도구를 호출해 함수별 역할, 설치 루틴, C2 패킷 레이아웃, command ID, HKCU Run key 지속성, 난독화 단서를 정리했다. Microsoft는 이 결과를 Acronis가 앞서 공개한 LOTUSLITE 분석과 비교했고, 파일명과 magic value는 달라도 loader/DLL 분리, HTTPS C2, custom binary protocol, interactive shell, directory enumeration, chunked upload 같은 행동이 같은 계열과 맞물린다고 설명했다.

흥미로운 대목은 Ire가 샘플 내부에 있던 BelievemeIamMustang-Panda 문자열에 휘둘리지 않았다는 점이다. Acronis는 LOTUSLITE를 Mustang Panda와 중간 신뢰도로 연결했지만, Microsoft는 이 문자열만으로 귀속 판단을 하지 않았다. 대신 Ire는 오해를 부를 수 있는 함수명과 실제 행위를 분리해 분석했고, Microsoft도 이를 LLM 기반 리버스 엔지니어링에서 중요한 보정 사례로 제시했다.

보안팀 입장에서 이번 사례의 가치는 자동화된 악성코드 분석이 IOC 사냥을 대체한다는 말이 아니다. 오히려 새 변종이 기존 해시와 인프라 목록을 벗어날 때, 행동 증거를 빠르게 모아 사람이 검토할 수 있는 보고서로 바꾸는 보조층이 생긴다는 뜻에 가깝다. Microsoft가 공개한 사례처럼 주요 벤더 탐지가 늦는 구간에서는 이 차이가 방어자의 초기 대응 시간을 줄일 수 있다.