✅ 보고서 제목: 위협 그룹 프로파일링 - 크림슨 컬렉티브(Crimson Collective)
✅ 보고서 요약:
📌 크림슨 컬렉티브(Crimson Collective)그룹은 누구인가요?
- 크림슨 컬렉티브(Crimson Collective)는 2025년 9월에 등장한 국제 사이버 공격 그룹으로, 게임·통신·소프트웨어 등 다양한 산업을 대상으로 금전적 목적의 데이터 탈취 및 협박 활동을 전개하는 위협 그룹입니다.
- 이 그룹은 텔레그램을 통해 탈취한 데이터 샘플을 공개하며 해킹 사실을 알리고, 다양한 연락수단을 통해 피해 기업과의 협상을 시도합니다.
- 2025년 10월 20일 기준, 해당 텔레그램 채널은 2,200여 명의 구독자를 보유하고 있습니다.
- 2025년 9월, 텔레그램 채널 개설과 동시에 일본 게임 기업 N사의 웹 사이트를 변조, 내부 시스템 접근 성공을 주장하며 본격적인 활동을 시작하였습니다.
- 2025년 10월, 기업용 오픈소스 소프트웨어 기업인 R사의 데이터를 유출하겠다고 협박하며 몸값 지불을 요구했으며, 요구에 응하지 않자 약 800여 건의 고객 참여 보고서(CER)목록을 공개하였습니다.
- 또한 Scattered Lapsus$ Hunters와 연합하여, 사이버 갈취 서비스(Extortion-as-a-Service)를 통해 DLS(Data Leak Site)에 R사 관련 판매 게시글을 게시하고 몸값 협상을 진행하겠다고 밝혔습니다.
📌 크림슨 컬렉티브(Crimson Collective)의 활동 내역 (과거순)
| No | Date (UTC+9) | Target Country | Target | Description |
|---|---|---|---|---|
| 1 | 2025-09-24 11:06 | Japan | N******* | “crimson” 해커가 일본 게임 기업 N사의 토픽 도메인을 Deface 공격함. |
| 2 | 2025-09-24 | - | - | 텔레그램 채널 “Crimson Collective” 개설 |
| 3 | 2025-09-24 23:30 | Japan | N******* | 일본 게임 기업 N사 공격 주장 |
| 4 | 2025-09-26 01:20 | Mexico | Claro Colombia | 멕시코 통신 기업 Claro Colombia(claro[.]com[.]co) 공격 주장 |
| 5 | 2025-10-01 22:58 | United States | R** H** | 미국 소프트웨어 기업 R사 취약점 제보 주장 |
| 6 | 2025-10-01 23:06 | United States | R** H** | R사 저장소 28,000개, 컨설팅 문서(CER) 탈취 주장 |
| 7 | 2025-10-01 23:07 | United States | R** H** | R사 인프라 Access 탈취 및 File Tree 공개 |
| 8 | 2025-10-01 23:14 | United States | R** H** | 컨설팅 백업 파일 “git[.]tar[.]gz”(570GB) 탈취 스크린샷 공개 |
| 9 | 2025-10-06 03:20 | United States | R** H** | Scattered Lapsus$ Hunters와 연합하여 R사 DLS(Data Leak Site) 공개 |
| 10 | 2025-10-11 04:30 | Germany | Yunex Traffic | 독일 모빌리티 기업 Yunex Traffic 데이터(1TB) 판매 |
| 11 | 2025-10-11 06:55 | Thailand | JobThai | 태국 구직 플랫폼 JobThai S3 Bucket 및 사용자 데이터베이스 판매 |
| 12 | 2025-10-11 10:27 | United States, Brazil | ChevroletDigital | ChevroletDigital(chevroletdigital-pp[.]accurate[.]com[.]br) 고객 신분증, 금융 정보, 인증서, 내부 이메일 판매 |
| 13 | 2025-10-11 10:35 | Japan | N******* | N사 탈취 스크린샷 공개 |
| 14 | 2025-10-11 23:42 | Colombia | Loteria de Medellin | Loteria de Medellin(loteriademedellin[.]com[.]co) Database(압축 시 1TB) 판매 |
| 15 | 2025-10-13 23:58 | United States | R** H** | R사 Consulting Data 판매 공지 |
| 16 | 2025-10-13 23:58 | Mexico | Claro Colombia | Claro Colombia(claro[.]com[.]co) Database 판매 |
| 17 | 2025-10-15 09:34 | United States | R** H** | R사 Consulting Data 독점 판매 공지 (가격: $70,000-$100,000) |
| 18 | 2025-10-15 09:34 | Mexico | Claro Colombia | Claro Colombia Database 판매 공지 (가격: $20,000-$30,000) |
📌 주요 활동 내역
1) 일본 게임 기업 N사 화면 변조 공격
- (2025-09-24 11:06) 일본 게임 기업 N사의 토픽 도메인이 "crimson”이라는 해커에 의해 화면 변조 공격(Deface Attack)을 받았습니다.
- (2025-09-24 23:30) 텔레그램 채널을 개설한 후, “found inside n******* data that mario got cucked by peach that was the final scenario (번역: N사 데이터에서 발견된 내용에 따르면 마리오가 피치에게 바람맞는 것이 최종 시나리오였다.)”라는 메시지를 남기며 일본 게임 기업 N사의 내부 시스템으로 추청되는 스크린샷을 공개했습니다.
- (2025-10-11 10:35) Crimson Collective는 “Who said we did not have n******* topics files ? (번역: 누가 우리가 N사 주제 파일을 가지고 있지 않다고 했나?)”라고 말하며 N사의 해킹을 뒷받침할 스크린샷을 공개했습니다.
- 공개된 스크린샷에는 “infra-test”, “mail”, "dev", "production", "staging"과 같은 키워드로 정리된 여러 폴더가 확인되었습니다.
- (2025-10-15) 일본 산케이신문의 취재에 따르면, N사는 “개인 정보 유출은 확인할 수 없고 개발이나 비즈니스 정보 누설도 없다. N사의 웹 사이트를 표시하는 일부 외부 서버가 변조되었지만 고객 피해나 사내 침입의 흔적은 없다”라고 응답하였습니다.
2) 기업용 오픈소스 소프트웨어 기업 R사 데이터 탈취
- (2025-10-01 22:58) Crimson Collective는 기업용 오픈소스 소프트웨어 기업 R사 보안팀에 취약점을 제보하였으나 답변을 거부했다고 밝혔습니다.
- (2025-10-01 23:06) Crimson Collective는 텔레그램 채널을 통해 git[.]tar[.]gz 이미지를 공개하며 R사에서 약 570GB의 데이터를 훔쳤다고 주장했습니다. 해당 데이터는 28,000개 이상의 R사 내부 개발 저장소에서 탈취하였다고 밝혔습니다.
- Crimson Collective가 공개한 데이터에는 전세계 약 800개 고객 참여 보고서(CER)가 포함되어 있는 것으로 확인되며, CER 문서에는 주로 고객사 네트워크, 인증 토큰 등의 민감 정보가 포함되어 있기 때문에 주의가 필요합니다.
- (2025-10-03) R사는 공식 보안 업데이트를 발표하며 “R사 내부 협업에 사용되는 GitLab 인스턴스에 대한 무단 접근이 확인되었으며 조사 결과, 무단 제3자가 이 인스턴스에 접근하여 일부 데이터를 복사한 것으로 확인되었다.”라고 밝혔습니다.
3) Scattered Lapsus$ Hunters와의 연합
- (2025-10-06) Crimson Collective는 데이터 유출 사실을 공개한 후 ShinyHunters, Scattered Lapsus$ Hunters와 협력한다고 발표했습니다.
- (2025-10-10) Scattered Lapsus$ Hunters는 Crimson Collective를 대신하여 R사와 협상을 진행할 예정이며, 10일(현지시간)까지 몸값 협상이 성사되지 않을 경우 데이터를 온라인에 공개하겠다고 협박했습니다.
- (2025-10-16) Scattered Lapsus$ Hunters의 DLS(Data Leak Site)는 익명의 유저에게 화면 변조 공격(Deface Attack)을 당하여 정상 접속이 불가한 상태입니다.
- 화면 변조 공격(Deface Attack)을 진행한 익명의 유저는 Scattered Lapsus$ Hunters에게 해킹당한 ChangeNOW 회사에 근무하던 직원으로, 보안 사고에 대한 책임으로 직장에서 해고된 후 Scattered Lapsus$ Hunters에게 분노하여 개인적으로 해킹했다고 설명했습니다.
🧑💻 보고서 작성자: S2W TALON
👉 보고서 전문 문의하기: https://s2w.inc/ko/contact
*해당 보고서는 별도 문의 가능하며, S2W의 플랫폼 구독 시 전문으로 제공됩니다.