·         BabyShark: Kimsuky의 대표 악성코드 시리즈, 다양한 스크립트 기반 실행 포함

·         QuasarRAT: ClickFix 캠페인에서 최종 페이로드로 사용됨 (Proofpoint 인용)

·         .vbs 악성 스크립트: C2 연결, 정보 수집 및 스케줄러 등록 기능 포함

·         .lnk 파일 (Edge 아이콘 위장): 사용자 클릭 유도용 단축 실행 파일

·         AutoIt 스크립트 (HncUpdateTray.exe): 사용자 정보 탈취 목적 실행 파일

·         ClickFix: 사용자 심리 유도 방식으로 수동 명령 실행 유도

·         이메일 위장 및 사회공학 (Spear-phishing)

·         다국어 PDF 매뉴얼 통한 오탐 회피

·         PowerShell 코드 역순 난독화

·         .vbs 및 .lnk 실행 후 C2 통신

·         스케줄러 등록을 통한 persistence 유지

·         키로깅 및 정보 수집

·         사용자 정보 탈취

·         감염 시스템의 지속적 C2 연결

·         키로깅 기록 수집

·         보안 우회 및 탐지 회피 성공

·         Kimsuky는 ClickFix 기법을 이용하여 사용자가 PowerShell 명령을 직접 입력하도록 유도하는 전술을 수행

·         2025년 1월에는 인터뷰 위장 이메일로 .vbs 스크립트 유포

·         3월에는 미국 안보관계자 보좌관 사칭 이메일을 통해 Code.txt 포함 매뉴얼 전송

·         ClickFix 전술은 사용자가 문제 해결로 착각하게 하여 악성 명령어를 수동 실행하도록 유도

·         가짜 포털 로그인 보안 페이지, 국방 분야 구직사이트 등 다양한 형태로 위장

·         감염 이후에는 스케줄러 등록, C2 통신, 정보 수집 등이 자동으로 이어짐

·         관련 인프라(IP, 도메인)는 한국·중국·베트남 등 다국적 분산

·         일부 사례는 Proton Drive, Google Drive 등 클라우드 기반 파일 전달 이용

·         대한민국 지역 대상

·         구체적으로 정부 외교, 언론, 교육 및 학술기관, 싱크탱크 포함

·         Bandizip 설치파일로 위장한 악성 .exe 실행 파일 유포

·         실행 시 실제 Bandizip 프로그램을 설치하는 동시에 악성 DLL 및 원격 스크립트 실행

·         mshta 및 regsvr32를 통한 악성 코드 원격 호출 및 실행

·         HappyDoor: VMP로 보호된 백도어, 시스템 정보 수집 및 6종 정보 탈취 기능 탑재

·         ut_happy(x64).dll: HappyDoor 구현 DLL, regsvr32로 여러 단계 명령 수행

·         Uso1Config.conf: PowerShell 기반 공격 명령 저장용 스크립트 파일

·         mshta: 원격 HTML 스크립트 로딩 및 실행 도구

·         regsvr32: 악성 DLL 등록 및 실행

·         bat 스크립트: 파일 자가 삭제 및 로컬 환경 정리

·         VBScript: 시스템 정보 및 디렉토리 파일 수집, C2로 전송

·         악성 설치파일 위장 (소셜 엔지니어링)

·         단계별 스크립트 로딩 및 실행

·         PowerShell 및 VBScript 통한 정보 수집

·         VMP 가상화로 백도어 보호 및 분석 방해

·         Registry와 ADS 활용한 은닉

·         regsvr32 매개변수 조합을 통한 다단계 DLL 실행

·         C2 통신을 통한 명령 및 데이터 전송

·         예약 작업(Scheduled Task) 생성으로 지속성 확보

·         사용자 정보(계정, 시스템, IP, 설치된 백신 등) 탈취

·         디렉토리 내 주요 문서(.hwp, .doc, .pdf 등) 수집

·         키로깅, 스크린샷, 오디오 녹음, 외장 장치 탐색 및 파일 수집

·         백도어를 통한 지속적 원격 제어 가능성

·         공격자는 Bandizip 설치 프로그램으로 위장한 .exe를 통해 실제 설치 프로그램과 악성 DLL을 동시에 배포

·         실행 시 DLL은 regsvr32를 통해 install/init/run 순서로 3단계 실행

·         스크립트는 사용자 정보 수집 후 특정 C2 주소로 전송

·         HappyDoor는 VMProtect로 패킹되어 있어 탐지 및 분석을 어렵게 하며, 다양한 정보 수집 기능 포함

·         채용 평가 위장 웹 링크 및 가짜 카메라 접근 요청 후 명령어 복사 유도

·         NVIDIA 도메인을 사칭한 업데이트 명령어 실행 유도

·         VBS 스크립트: 악성 아카이브 다운로드 및 Python 환경 실행

·         Python 스크립트: 심각하게 난독화되어 있으며 credential theft, remote access, data exfiltration 기능 포함

·         WebBrowserPassView: 브라우저 자격증명 탈취 툴

·         MailPassView: 이메일 자격증명 탈취 툴

·         MeshAgent: 원격 제어 및 지속성 확보용 에이전트 설치

·         PyInstaller EXE: FTP 기반 파일 및 시크릿 유출, ChromeUpdate.exe로 위장된 Scheduled Task 통한 persistence

·         브라우저 확장 및 로컬 암호화폐 폴더: 암호화폐 관련 정보 수집 및 exfiltration

·         심리 사회공학 기반 피싱: 채용 인터뷰라는 신뢰 기반 유인

·         도메인 사칭 (NVIDIA), 명령어 복사 후 변형된 악성 코드 실행

·         난독화된 Python 스크립트

·         브라우저/메일 자격증명 탈취, 원격 에이전트 설치, scheduled task persistence, 암호화폐 정보 수집 및 exfiltration

·         브라우저 및 이메일 자격증명 탈취 → C2 서버로 exfiltration

·         원격 제어 및 영속성 확보 (MeshAgent, scheduled task)

·         암호화폐 관련 정보 수집 및 전송 → 사용자의 민감 데이터 및 자산 탈취 가능성

·         구체적인 데이터 유출 규모나 시스템 마비 등 상세 피해는 언급되지 않음

·         채용 평가 화면으로 속여 사용자에게 명령어 복사 실행 유도

·         Windows 기반 VBS → Python 실행 후 credential theft, remote access, scheduled task persistence, 암호화폐 정보 탈취 등 다단계 공격

·         Lazarus의 “DeceptiveDevelopment” 맥락으로 연결된 정교한 사칭 및 오브젝트 유도 기반 공격 체인