2025년 4월 APT 그룹 동향 보고서
국가별 주요 APT 그룹 동향
1) 북한
북한 APT 그룹은 2024년 11월부터 한국 인터넷 금융 보안 소프트웨어 취약점을 이용해 공격했다. 과거에도 비슷한 방식의 공격이 있었으며, 이들은 한국의 소프트웨어 생태계에 대한 이해를 바탕으로 공격을 지속하고 있다.
Konni
Konni 그룹이 한국 정부기관을 사칭한 스피어 피싱 공격을 통해 LNK 파일과 AutoIT 스크립트로 구성된 악성코드를 유포하였다.
| 사례 1. | |
| 시기 | 2025년 1월부터 3월 |
| 공격 대상 | 북한 인권분야 및 대북 NGO 단체 소속 활동가 |
| 초기 침투 | 국가인권위원회 및 경찰청을 사칭한 스피어 피싱 이메일을 통해 수신자의 회신을 유도한 후 악성코드 파일 전달 |
| 이용 취약점 | N/A |
| 악성코드 및 도구 |
· LNK 바로가기 유형의 악성파일 · AutoIT 스크립트 |
| 기법 |
· 정부기관을 사칭한 스피어 피싱 · 회신 유도형 공격 전략 · 비실행파일형 악성코드 활용 |
| 피해 | 이용자 단말에 악성파일 설치로 인한 자료 탈취 및 추가 해킹 시도 |
| 내용 | Konni 그룹은 한국의 정부기관을 사칭하여 스피어 피싱 공격을 수행하였으며, LNK 파일과 AutoIT 스크립트를 활용한 비실행파일형 악성코드를 유포하여 이용자의 단말을 감염시키고 자료를 탈취하는 등의 활동을 전개 |
| 출처 | 경찰청과 국가인권위를 사칭한 Konni 캠페인 분석[1] |
Lazarus
Lazarus 그룹은 한국 소프트웨어의 취약점을 악용한 워터링 홀 공격을 통해 최소 6개 한국 산업 조직을 침해한 Operation SyncHole를 수행했다.
| 사례 1. | |
| 시기 | 2024년 11월 – 2025년 3월 |
| 공격 대상 | 대한민국의 소프트웨어, IT, 금융, 반도체 제조, 통신 산업의 최소 6개 조직 |
| 초기 침투 | 워터링 홀 공격 |
| 이용 취약점 |
· Innorix Agent[2] · Cross EX[3] |
| 악성코드 및 도구 |
· ThreatNeedle · wAgent · Agamemnon 다운로더 · SIGNBT · COPPERHEDGE |
| 기법 |
· 워터링 홀 · Cross Ex의 취약점 악용 · 메모리 내 악성코드 실행 · Innorix Agent를 이용한 측면 이동 |
| 피해 |
· 최소 6개 대한민국 조직 침해 · 데이터 유출 및 시스템 침해 가능성 |
| 내용 |
· 대한민국 온라인 환경의 특수성을 활용한 공격 · Lazarus 그룹은 대한민국의 소프트웨어 생태계를 깊이 이해하고 있으며, 이를 악용한 공급망 공격을 수행 · 과거 Bookcode(2020), DeathNote(2022), SIGNBT(2023) 캠페인과 유사한 전략 사용 |
| 출처 | Operation SyncHole: Lazarus APT goes back to the well[4] |
2) 중국
중국 APT 그룹은 아시아 지역 공격에 집중하고 있다. 이들은 네트워크 장비 취약점 악용, EDR 제품 우회 등의 다양한 기법을 개발해 이용하고 있다. Earth Bluecrow 그룹이 2025년 4월 발생한 한국 통신사 침해 사고의 배후 인지에 대한 조사도 진행 중이다.
APT41
APT41의 인프라가 잠시 노출되면서 Fortinet 장비의 취약점을 악용하는 스크립트, 암호화된 웹 셸, 일본 시세이도(Shiseido)를 겨냥한 정찰 도구가 발견되었다.
| 사례 1. | |
| 시기 | 2025년 3월 |
| 공격 대상 | 일본 시세이도(Shiseido) |
| 초기 침투 |
· Fortinet 방화벽 및 VPN 장비의 취약점을 악용하여 초기 접근 시도 · 인증되지 않은 WebSocket 엔드포인트를 통한 CLI 명령 실행 |
| 이용 취약점 |
· CVE-2024-23108 : Fortinet 취약점 · CVE-2024-23109 : Fortinet 취약점 |
| 악성코드 및 도구 |
· KeyPlug 백도어 · 1.py: Fortinet 장비 탐지 및 버전 식별 · ws_test.py: WebSocket CLI 취약점 악용 · bx.php: 암호화된 페이로드를 메모리에서 복호화 및 실행하는 PHP 웹셸 · fscan: 포트 스캐닝 및 서비스 열거 도구 |
| 기법 |
· 인증되지 않은 WebSocket 엔드포인트를 통한 명령 실행 · AES 및 XOR 암호화를 이용한 페이로드 은닉 · 네트워크 정찰 및 내부 포털 탐색 |
| 피해 |
· 시세이도 관련 약 100개의 도메인 정보 수집 · 내부 시스템 및 인증 포털에 대한 정찰 활동 |
| 내용 | Fortinet 장비의 취약점을 악용하여 초기 접근 후, 암호화된 웹셸과 정찰 스크립트를 사용하여 목표 시스템을 탐색 |
| 출처 | KeyPlug-Linked Server Briefly Exposes Fortinet Exploits, Webshells, and Recon Activity Targeting a Major Japanese Company[5] |
Earth Bluecrow
Earth Bluecrow 그룹이 BPFDoor 백도어의 새로운 컨트롤러를 활용하여 아시아 및 중동 지역의 통신, 금융, 소매 산업을 대상으로 사이버 스파이 활동을 수행했다.
| 사례 1. | |
| 시기 | 2021년부터 현재까지 |
| 공격 대상 | 대한민국, 홍콩, 미얀마, 말레이시아, 이집트의 통신, 금융, 소매 산업 |
| 초기 침투 | 알려지지 않음 (조사 중) |
| 이용 취약점 | 알려지지 않음 |
| 악성코드 및 도구 | BPFDoor (Backdoor.Linux.BPFDOOR) |
| 기법 |
· Berkeley Packet Filter(BPF)를 활용한 패킷 필터링 · ‘magic sequence’를 포함한 네트워크 패킷을 통한 백도어 활성화 · 포트 리스닝 없이 프로세스 이름 변경을 통한 은폐 · TCP, UDP, ICMP 프로토콜을 통한 통신 · 암호 인증 및 암호화된 연결을 통한 제어 |
| 피해 |
· 시스템 내 장기적인 은폐 · 리버스 셸을 통한 네트워크 내 횡적 이동 · 민감한 데이터 접근 및 추가 시스템 제어 |
| 내용 |
· BPFDoor는 국가 지원 사이버 스파이 활동을 위해 설계된 백도어로, BPF를 활용하여 방화벽을 우회하고 은밀하게 통신 · 리버스 셸을 열어 감염된 네트워크 내에서 위협 행위자의 접근을 확대 |
| 출처 | BPFDoor’s Hidden Controller Used Against Asia, Middle East Targets[6] |
[1] https://www.genians.co.kr/blog/threat_intelligence/konni_disguise
[2] https://www.krcert.or.kr/kr/bbs/view.do?searchCnd=1&bbsId=B0000133&searchWrd=&menuNo=205020&pageIndex=6&categoryCode=&nttId=71686
[3] https://www.krcert.or.kr/kr/bbs/view.do?searchCnd=&bbsId=B0000133&searchWrd=&menuNo=205020&pageIndex=1&categoryCode=&nttId=71693
[4] https://securelist.com/operation-synchole-watering-hole-attacks-by-lazarus/116326/
[5] https://hunt.io/blog/keyplug-server-exposes-fortinet-exploits-webshells
[6] https://www.trendmicro.com/en_us/research/25/d/bpfdoor-hidden-controller.html
