◆스텔스팔콘(Stealth Falcon)과 프루티아머(FruityArmor)

- 스텔스팔콘과 프루티아머는 주로 중동 지역의 기자 및 사회 운동가를 타깃으로 접근
- 이스라엘 보안기술 업체 NSO그룹이 판매한 멀웨어를 2016년에 이용
- 2016년부터 2019년까지 그 어느 그룹보다도 활발하게 제로데이 공격 이행

◆샌드캣(SandCat)

- 샌드캣이라고 불리는 공격 그룹은 우즈베키스탄 국가 정보기관과 관련된 것으로 추정
- 샌드캣에 의한 제로데이 취약점 공격에는 스텔스팔콘의 공격에 이용된 제로데이 취약점과 같은 것으로 보아, 해당 공격그룹 또한 NSO 그룹과 같은 민간 기업의 멀웨어를 구입하여 제로데이 공격에 활용

◆블랙오아시스(BlackOasis)

- 2016년부터 2017년까지 블랙오아시스라고 알려진 공격 그룹은 사이버 공격 무기 딜러인 감마그룸(Gamma Group)을 통해 하나 이상의 제로데이 취약점을 활용한 공격 도구를 취득한 것으로 추정

◆2019년에 알려진 왓츠앱(WhatsApp) 제로데이 취약점(CVE-2019-3568)은 NSO 그룹이 개발한 스파이웨어 배포에 악용됨

◆러시아 헬스케어 기관을 표적으로 한 2018년 어도비 플래시 제로데이 취약점(CVE-2018-15982) 공격은 해킹팀(Hacking Team)이라는 이탈리아 기반 스파이웨어를 배포하는 공격 그룹의 소스코드 유출과 관련된 것으로 추정

◆2019년 10월 보고된 안드로이드 제로데이 취약점(CVE-2019-2215) 공격에 NSO 그룹의 도구가 사용된 것으로 추정

◆중국 사이버첩보그룹 APT3는 2016 년 감행한 사이버 공격에서 윈도우 취약점(CVE-2019-0703)을 이용

◆북한 사이버공격그룹 APT37은 2017년 어도비 플래시 제로데이 취약점(CVE-2018-4878)을 활용한 캠페인을 수행함. 위 그룹은 취약점이 공개된 후 빠른 시간 안에 공격할 수 있는 역량을 입증 

◆2017 년 12 월부터 2018 년 1 월까지 중국 기반 공격 그룹 다수가 마이크로소프트 오피스 취약점(CVE-2018-0802)을 이용해 유럽, 러시아, 동남아시아, 대만에 위치한 여러 업계를 대상으로 공격 캠페인을 실행 – 샘플의 최소 절반 이상이 취약성 패치 배포 이전에 진행됨 

◆러시아 그룹 APT28 및 털라(Turla)는 2017 년 마이크로소프트 오피스 제품 내 여러 제로데이 취약점을 활용한 공격 이행