2026년 5월 26일, 크라우드스트라이크, 구글, 섀도서버 재단이 글래스웜 봇넷의 솔라나 블록체인과 비트토렌트 DHT를 포함한 네 개의 여분 명령 제어(C2) 채널을 동시에 차단하며 무력화에 성공했다 [4][5][11]. 글래스웜의 운영자들은 솔라나, 비트토렌트, 구글 캘린더, VPS 서버를 아우르는 복원력 높은 C2 아키텍처를 구축해 하나의 채널을 차단해서는 봇넷을 무너뜨릴 수 없도록 설계했다.

Create a landscape editorial hero image for this Studio Global article: What happened during CrowdStrike's coordinated takedown of the "unkillable" Glassworm botnet, which had been targeting software developers s. Article summary: On May 26, 2026, at 14:00 UTC, CrowdStrike's Counter Adversary Operations team, working with Google and the Shadowserver Foundation, executed a coordinated takedown of the Glassworm botnet by simultaneously disrupting al. Topic tags: general, general web. Reference image context from search candidates: Reference image 1: visual subject "# CrowdStrike, Google, and Shadowserver dismantle "unkillable" Glassworm botnet targeting software developers. CrowdStrike, Google, and Shadowserver dismantle. In a coordinated tak" source context "CrowdStrike, Google, and Shadowserver dismantle "unkillable ..." Reference image 2: visual subject "Abstract image of robots working
2026년 5월 26일, 크라우드스트라이크의 대적 작전(Counter Adversary Operations) 팀은 구글, 그리고 비영리 단체인 섀도서버 재단(Shadowserver Foundation)과 손잡고 사이버 보안 역사에 한 획을 긋는 작전을 성공시켰다. 이들이 표적으로 삼은 것은 소프트웨어 공급망을 공격하는 악성 코드, 글래스웜 봇넷이었다.
2025년 초부터 활동을 시작한 글래스웜은 일반적인 소비자 기기를 노리는 평범한 봇넷과는 차원이 달랐다. 이 봇넷의 주요 표적은 다름 아닌 소프트웨어 개발자 그 자체였다. 공격자들은 개발자들이 신뢰하는 도구들을 교묘하게 무기화하여, 300개가 넘는 깃허브(GitHub) 저장소를 오염시키고, 비주얼 스튜디오 코드(VSCode) 확장 프로그램을 악성 코드로 위장했으며, npm과 파이썬 패키지 인덱스의 패키지들까지 침투시켰다. 덕분에 이 멀웨어는 윈도우, 맥OS, 리눅스 운영 체제를 가리지 않고 퍼져나갈 수 있었다.
공격의 궁극적인 목표는 글래스웜RAT이라는 Node.js 기반 원격 접근 도구를 심는 것이었다. 감염된 개발자 PC는 자격 증명 탈취, 키 입력 기록, 데이터 유출의 통로가 되었으며, 더 나아가 협력사와 고객을 노리는 추가 공격을 위한 발판으로 전락했다.
글래스웜이 특히 위협적이었던 이유는, 기존의 방식으로는 무력화가 사실상 불가능할 정도로 교묘하게 설계된 명령 제어(C2) 인프라 때문이었다. 운영자들은 의도적으로 단일 장애점을 없애기 위해, 다음과 같은 서로 다른 네 개의 중복 채널을 통해 통신을 분산시켰다.
이 다층적인 아키텍처가 봇넷을 이른바 '죽일 수 없는(unkillable)' 존재로 만든 핵심이었다. 하나 혹은 두 개의 채널을 무력화해도, 나머지 채널이 완벽하게 기능하면서 운영자들은 빠르게 네트워크를 재건할 수 있었다.
이 봇넷을 와해시킬 수 있는 유일한 방법은, 네 개의 모든 C2 채널을 완벽한 타이밍에 동시 공격하는 것뿐이었다. 크라우드스트라이크는 그 어려움을 이렇게 표현했다. "이 아키텍처를 무력화하려면 정밀함과 정확한 타이밍이 필요했습니다. 단 하나의 채널만 차단할 경우 나머지가 계속 작동하여, 운영자들이 봇넷을 금방 재구축할 수 있었기 때문입니다."
2026년 5월 26일 14:00 (UTC), 연합군은 사전에 세밀하게 계획된 동시 작전을 개시했다. 이 순간, 전 세계에 흩어진 감염된 기기들과 운영자들 사이의 연결 고리가 일제히 단절되었다. 물론 이 작전으로 감염된 모든 컴퓨터에서 글래스웜RAT 악성 코드가 자동으로 삭제된 것은 아니다. 핵심은 운영자가 더 이상 감염 기기에 새로운 명령을 내리거나 추가적인 악성 페이로드를 심을 수 없도록 '무력화'시킨 데 있었다.
전 세계에 얼마나 많은 기계에 아직 멀웨어가 잠복해 있을지는 미지수지만, 봇넷의 공격적인 역량은 이로써 사실상 상실되었다.
크라우드스트라이크의 정보 평가에 따르면, 글래스웜 작전의 배후는 러시아에 기반을 둔 사이버 범죄 조직일 가능성이 높다. 오픈 소스 소프트웨어 공급망 자체를 집중 공략하는 전략은, 최종 사용자 기업을 직접 공격하는 방식에서 한 단계 더 진화한 위협 행위자들의 위험한 전략적 변화를 의미한다. 가장 근본적인 신뢰 체계를 오염시켜 연쇄적인 피해를 노리는 것이다.
이번 봇넷 무력화는 중대한 방어적 승리지만, 완치는 아니다. 크라우드스트라이크는 조직들이 감염 여부를 확인하고 시스템을 정화하기 위해 구체적인 복구 절차를 따를 것을 권고하고 있다.
164.92.88[.]210)로의 네트워크 연결 로그를 검토하고, 회사가 공개한 기술 블로그 게시물의 YARA 규칙을 활용해 감염 흔적을 찾아내야 한다. Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
2026년 5월 26일, 크라우드스트라이크, 구글, 섀도서버 재단이 글래스웜 봇넷의 솔라나 블록체인과 비트토렌트 DHT를 포함한 네 개의 여분 명령 제어(C2) 채널을 동시에 차단하며 무력화에 성공했다 [4][5][11].
2026년 5월 26일, 크라우드스트라이크, 구글, 섀도서버 재단이 글래스웜 봇넷의 솔라나 블록체인과 비트토렌트 DHT를 포함한 네 개의 여분 명령 제어(C2) 채널을 동시에 차단하며 무력화에 성공했다 [4][5][11]. 글래스웜의 운영자들은 솔라나, 비트토렌트, 구글 캘린더, VPS 서버를 아우르는 복원력 높은 C2 아키텍처를 구축해 하나의 채널을 차단해서는 봇넷을 무너뜨릴 수 없도록 설계했다.
크라우드스트라이크는 기업들에게 팔콘(Falcon) 플랫폼을 통한 글래스웜RAT 검사, 특정 IP 주소 연결 로그 확인, 그리고 감염된 워크스테이션을 검증된 이미지로 완전히 재구축할 것을 권고하고 있다 [11].