주요 조사 결과는 다음과 같다.

· 활발한 공격 및 추적: 맨디언트는 CVE-2025-22457에 대한 공격이 2025년 3월 중순부터 시작됐음을 확인했다. 이 공격은 SPAWN 멀웨어 생태계 배포와 동일하게 중국 연계 사이버 스파이 그룹인 UNC5221의 소행으로 추정된다. UNC5221은 이반티 및 기타 에지 디바이스에서 제로데이(Zero-day) 및 엔데이 취약점을 모두 악용한 이력이 있다.
· 메모리에 상주하는 신규 멀웨어: 공격에 성공한 뒤 UNC5221이 새로운 메모리 상주 멀웨어 패밀리를 배포하는 것이 관찰됐다.
- TRAILBLAZE: 백도어를 주입하기 위해 설계된 초소형 메모리 내 멀웨어 드로퍼(메모리에서만 작동하는 소형 악성 코드)
- BRUSHFIRE: SSL 기능을 악용해 은밀하게 명령을 수신하는 수동 백도어
- 정교한 전술·기술·절차(TTPs): 공격자는 다단계 쉘 스크립트 드로퍼를 이용해 TRAILBLAZE를 실행하고 실행 중인 웹 프로세스의 메모리에 직접 BRUSHFIRE를 주입한다. 이러한 메모리만 타깃하는 접근 방식은 탐지를 회피하기 위한 전술이다.
· 공격의 영향: 공격에 성공한 공격자는 침해를 입은 어플라이언스에서 지속적인 백도어 액세스를 설정해 자격 증명 도용, 추가 네트워크 침입, 데이터 유출을 가능하게 한다.

찰스 카마칼(Charles Carmakal) 맨디언트 컨설팅 최고기술책임자(CTO)는 “UNC5221의 최근 공격 활동은 중국과 연계된 스파이 그룹들이 전 세계적으로 에지 디바이스를 지속적으로 표적으로 삼고 있음을 시사한다. 이러한 공격 행위자는 엔드포인트 탐지 및 대응(Endpoint Detection and Response, EDR) 솔루션을 사용하지 않는 기업의 시스템을 공략하기 위해 지속적으로 보안 취약점을 연구하고 맞춤형 악성 코드를 개발해 나갈 것이다. 중국 연계 스파이 행위자들은 그 어느 때보다 빠르고 능숙하게 사이버 잠입 공격을 실행하고 있으며, 시간이 흐를수록 더욱 가속화되고 있다”고 말했다.