·         Proton Mail 계정을 사용하여 Microsoft 보안 경고로 위장한 피싱 이메일 발송

·         피싱 이메일 내 링크를 통해 자격 증명 수집 사이트로 유도

·         HTML 첨부 파일을 통한 악성코드 배포

·         자격 증명 수집을 위한 피싱

·         HTML 첨부 파일을 통한 악성코드 배포

·         PowerShell을 이용한 명령 및 제어(C2) 통신

·         2025년 2월, 우크라이나 정부 기관을 대상으로 자격 증명 수집과 악성코드 배포를 시도

·         북한이 2024년 가을 러시아를 지원하기 위해 병력을 파견한 이후, 자국 병력의 위험 수준과 추가 지원 요청 가능성을 평가하기 위한 정보 수집의 일환으로 보임

·         스피어피싱 이메일을 통해 Dropbox 링크가 포함된 ZIP 압축파일 유포

·         압축파일 내 LNK 바로가기 파일 실행 시 추가 악성코드 작동

·         스피어피싱

·         LNK 파일을 통한 악성코드 실행

·         Dropbox를 이용한 악성파일 유포

·         Living off Trusted Sites (LoTS) 기법 활용

·         다양한 공격 전략(워터링 홀, 스피어피싱, SNS 피싱 등)을 구사하며, 합법적인 클라우드 서비스를 명령제어(C2) 서버로 악용하는 LoTS 기법을 활용함

·         Windows 기반 공격뿐만 아니라 Android 기반 악성 앱(APK)이나 macOS 이용자를 노린 공격도 수행함

·         TOUGHPROGRESS

·         PLUSDROP

·         Google Calendar를 C2 채널로 사용

·         메모리 내 페이로드 실행

·         암호화 및 압축

·         프로세스 할로잉(Process Hollowing)

·         제어 흐름 난독화