2025년 6월 APT 그룹 동향 보고서
국가별 주요 APT 그룹 동향
1) 북한
북한 APT 그룹은 Github PAT을 사용해 비공개 리포지토리를 공격 인프라로 활용했다. 또, 원격 IT 근로자로 위장해 기업 입사 후 정보 탈취, 금전 수익을 얻는 활동이 지속되고 있으며, 미국 정부도 북한 IT 인력과 그들을 돕는 사람들을 기소했다.
Jasper Sleet
Jasper Sleet 등 북한 위협 행위자가 원격 IT 근로자를 위장해 AI로 허위 신원 문서를 제작하고 RMM 도구를 통해 침투·정보 탈취·금전 획득을 시도하는 활동이 포착됐다.
| 사례 1. | |
| 시기 | 2018년 – 2024년 10월 |
| 공격 대상 |
· 미국의 기술, 중요 제조, 운송 분야 기업 · 다양한 산업의 글로벌 기술 관련 직무 채용 기업 · 일부 정부기관 (미국 내 최소 2곳) |
| 초기 침투 |
· 위조된 이력서와 신분증으로 원격 IT 채용 과정에 침투 · LinkedIn·GitHub·프리랜서 사이트에 허위 포트폴리오와 계정 생성 · 필요 시 페이스북·Telegram 등에서 채용자나 중개인을 접촉 |
| 이용 취약점 | 없음 |
| 악성코드 및 도구 |
· Faceswap 등 AI 이미지 생성/수정 도구 · 음성변조 소프트웨어 · RMM 도구(TinyPilot, Rust Desk, TeamViewer, AnyViewer, Anydesk 등) · VPN/Astrill VPN · VPS/프록시 · IP 기반 KVM 장치(PiKVM, TinyPilot) |
| 기법 |
· 허위 신원·위장 프로필을 이용한 채용 과정 침투 · AI로 신분증·프로필 사진 생성 및 음성변조 · 채용 후 기업 하드웨어를 공범에게 배송, 원격 접속용으로 활용 · RMM·VPN으로 위치와 활동을 은폐 · 허위 이유로 화상 인터뷰 회피하거나 공범이 대리 참석 |
| 피해 |
· 기밀 정보(소스코드, IP, 무역 비밀 등) 탈취 · 최소 64개 미국 기업에 침투해 86만 달러 이상 획득 |
| 내용 |
· 북한 IT 근로자들은 미국·글로벌 IT 직무에 지원하기 위해 중국·러시아 IP나 도용한 해외 신분을 사용하고, AI로 신원 문서를 위조해 신뢰 확보 · 채용 후 기업 하드웨어를 북한 혹은 공범 위치로 배송하거나 공범의 노트북 팜에 연결해 원격 근무를 수행 · 이후 RMM 소프트웨어를 설치하고 VPN을 이용해 위치를 은폐했으며, 필요 시 공범이 화상 인터뷰나 대면 요구를 대리 수행 |
| 출처 | Jasper Sleet: North Korean remote IT workers’ evolving tactics to infiltrate organizations[1] |
Kimsuky
Kimsuky 그룹이 Facebook, 이메일, Telegram을 이용해 대북·국방분야 활동가를 겨냥한 스피어 피싱으로 AppleSeed 악성코드를 유포하고 기밀 정보를 탈취하는 3단 콤보 공격을 수행했다.
| 사례 1. | |
| 시기 | 2025년 3월부터 4월까지 |
| 공격 대상 | 대한민국 방위산업 및 국방분야 |
| 초기 침투 |
· Facebook 메신저로 친구 신청 후 대화를 유도해 악성파일 전달 · 이메일로 악성 압축파일 전송 · Telegram 메세지로 악성파일 전달 |
| 이용 취약점 | 없음 |
| 악성코드 및 도구 | AppleSeed |
| 기법 |
· Facebook·이메일·Telegram을 통한 다단계 접근 (3단 콤보) · 탈북민 지원 활동을 사칭해 심리적 신뢰 확보 후 악성파일 전달 · EGG 압축파일 포맷 사용으로 탐지 우회 · Windows Script Host(JSE) 실행, regsvr32로 DLL 로드 후 지속성 확보 · RC4 및 RSA 암호화로 수집 정보 은닉, PDF로 위장해 전송 · C2 서버와 지속적 명령·제어 통신 수행 |
| 피해 |
· 감염 시스템의 기밀 정보 탈취 · C2 서버를 통한 명령 수행 및 재전송 |
| 내용 |
· Kimsuky 그룹은 Facebook, 이메일, Telegram 3가지 채널을 활용해 공격대상과 교류를 시도하고, 탈북민 자원봉사 활동을 사칭하여 악성 JSE 파일이 포함된 EGG 압축파일을 전달 · 이전 사례들과 비교 시 JSE, DLL 형태, 공격 패턴에서 동일성이 높고, 한국형 압축포맷(EGG) 사용, 압축해제 프로그램 유도를 통해 탐지 회피를 시도한 정황 |
| 출처 | Kimsuky 그룹의 3단 콤보 위협 분석[2] |
Kimsuky 그룹이 하드 코딩된 Github PAT을 사용해 비공개 리포지토리를 공격 인프라로 활용, XenoRAT를 유포하고 피해자 정보를 업로드하는 정교한 스피어 피싱 공격을 수행했다.
| 사례 2. | |
| 시기 | 2025년 3월부터 5월 |
| 공격 대상 | 대한민국 금융·법무·암호화폐 관련 상황에 처한 개인 |
| 초기 침투 |
· 국내 법무법인 사칭 스피어 피싱 메일 전송 · 첨부된 악성 압축파일 내 LNK·Powershell 기반 다운로더로 초기 감염 유도 |
| 이용 취약점 | 없음 |
| 악성코드 및 도구 |
· XenoRAT · onf.txt · ofx.txt · Github PAT(Personal Access Token) · Powershell 스크립트 |
| 기법 |
· Github 비공개 리포지토리와 하드코딩된 PAT을 사용해 명령·제어 및 데이터 유출 · Dropbox를 악용한 악성코드 배포 · 피해자 맞춤형 미끼 문서(채무 독촉장, 위임계약서 등) 활용 · 작업 스케줄러를 통한 지속성 유지 및 정기적 로그 업로드 · XenoRAT로 감염 시스템 제어, 키로깅 및 정보 탈취 수행 |
| 피해 |
· 피해자의 개인정보·시스템 정보 탈취 · 키로깅·클립보드 데이터 포함한 지속적 정보 수집 |
| 내용 |
· Kimsuky 그룹이 Github에 공격 전용 비공개 리포지토리를 다수 운영하고, 각 리포지토리에 피해자 대상의 미끼 문서·인포스틸러·로그 파일 등을 관리 · 확보된 XenoRAT 변종 다수에서 제작 환경(GUID) 및 암호화 방식이 동일했으며, 과거 MoonPeak(Kimsuky 연계) 사례와 같은 테스트 IP 재사용, 네이버 피싱 사이트로 사용된 동일 C2 서버 등을 통해 Kimsuky와의 연관성 식별 |
| 출처 | Github를 공격 인프라로 악용하는 Kimsuky의 최신 국내 공격 사례 분석[3] |
[1] https://www.microsoft.com/en-us/security/blog/2025/06/30/jasper-sleet-north-korean-remote-it-workers-evolving-tactics-to-infiltrate-organizations/
[2] https://www.genians.co.kr/blog/threat_intelligence/triple-combo
[3] https://www.enki.co.kr/media-center/blog/dissecting-kimsuky-s-attacks-on-south-korea-in-depth-analysis-of-github-based-malicious-infrastructure
