2025년 8월 APT 그룹 동향 보고서
지역별 주요 APT 그룹 동향
1) 북한
북한 연계 APT 그룹들은 한국을 중심으로 외교, 금융, 기술, 언론, 정책 연구 분야를 겨냥한 고도화된 사이버 공격을 집중적으로 수행했으며, 다양한 악성코드와 사회공학 기법, 클라우드 기반 C2 인프라를 활용한 정교한 스피어 피싱 캠페인이 두드러졌다. 이들은 LNK·PowerShell 기반 로더, 스테가노그래피(JPEG 은닉), 파일리스 기법 등 다양한 침투 기술을 조합해 RAT 및 정보 탈취형 악성코드를 배포했으며, GitHub, pCloud, Dropbox, Yandex, PubNub 등 합법적인 플랫폼을 C2로 악용하는 사례가 지속적으로 확인되었다. 특히, 암호화폐 지갑·크리덴셜 탈취, macOS 사용자 대상 공격, Rust 기반 백도어 및 랜섬웨어 투하 등 기술적 다양성과 공격 대상의 확장이 뚜렷하게 나타났다.
Kimsuky
북한 연계 국가 배후 그룹 Kimsuky가 국내 언론사 직원을 사칭해 정책 연구소 소속 인물을 겨냥한 스피어 피싱 공격을 수행했으며, 악성 LNK와 PowerShell을 이용해 RAT 감염을 유도했다.
| 사례 1. | |
|
시기 |
알 수 없음 |
|
공격 대상 |
국내 비영리 민간 정책 연구소 소속 특정인 |
|
초기 침투 |
· 언론사 담당자를 사칭한 이메일 회신에 국내 포털 메일 서비스 대용량 첨부파일 링크를 포함, 피해자가 암호화된 ZIP 파일을 내려 받도록 유도 · ZIP 내부에 Chrome 아이콘으로 위장된 LNK 파일을 넣어 피해자가 실행 시 PowerShell 코드가 동작 |
|
이용 취약점 |
· 없음 |
|
악성코드 및 도구 |
· Trojan.Agent.LNK.Gen · Trojan.PowerShell.Agent · 7hweuyd.ps1, chrome.ps1, temp.ps1, system_first.ps1 (악성 LNK 파일 및 PowerShell 스크립트) |
|
기법 |
· Base64 인코딩된 PowerShell 코드 실행 · %TEMP%, %APPDATA% 경로에 스크립트 저장 및 실행 · 스케줄러 등록 (30분 주기, “MicrorfteguesoftUpdata1logiveKentwuerwtySchule”) · C2 서버에서 미끼 PDF 및 추가 스크립트(ofx.txt, onf.txt) 다운로드 |
|
피해 |
· 알 수 없음 |
|
내용 |
· 정상적인 언론사 업무 메일을 사칭하여 피해자의 신뢰를 확보한 뒤, 악성 파일 실행을 유도하는 방식의 공격 · LNK–PowerShell–지속성 확보–C2 다운로드 순으로 단계적 공격 수행 · 분석 결과, 북한 국가 배후 그룹 Kimsuky의 전형적인 공격 패턴과 유사성이 높아 해당 조직의 소행으로 추정 |
|
출처 |
· 北 해킹 조직의 언론사 위장 스피어 피싱 공격 주의![1] |
2025년 상반기 주한 외교공관을 노려 GitHub를 C2로 악용하고 XenoRAT 변종을 배포한 스피어 피싱 캠페인을 전개했다.
| 사례 2. | |
|
시기 |
· 2025년 3월 6일부터 2025년 7월 28일 사이 공격 활동 |
|
공격 대상 |
서울주재 유럽권 외교공관 및 외교부 인력(서유럽, 중유럽, 동유럽, 남유럽) |
|
초기 침투 |
· 외교관·대사관 담당자를 사칭한 스피어 피싱 메일 · 비밀번호 보호 ZIP 첨부파일 (클라우드 링크 포함) 내 PDF 위장 이중 확장자 LNK 실행 |
|
이용 취약점 |
· 없음 |
|
악성코드 및 도구 |
· XenoRAT 변종 (.NET, Confuser Core 1.6.0 난독화) · LNK 드로퍼, PowerShell 스크립트 · GitHub (Contents API), Dropbox, Daum 대용량 첨부 서비스 |
|
기법 |
· 사회공학 기반 맞춤형 외교 이벤트/공문 위장 메일 · PowerShell 스크립트 인메모리 로드 (Base64 디코딩, GZIP 헤더 수정 후 .NET Assembly Reflection) · GitHub API를 통한 데이터 업로드 및 onf.txt 파일로 RAT 페이로드 지시 · 스케줄러 등록 통한 지속성 확보 · 클라우드 기반 인프라·빠른 페이로드 교체로 탐지 회피 |
|
피해 |
· 알 수 없음 |
|
내용 |
· 북한 연계 국가 배후 그룹 Kimsuky(APT43)가 외교관과 대사관 직원을 사칭한 피싱 메일을 발송하고 악성 LNK 파일을 유포 · 피해자가 이를 실행하면 PowerShell을 통해 XenoRAT이 내려와 외교 기밀 접근과 장기간 스파이 활동이 가능 · 캠페인에서 활용된 GitHub·Dropbox 기반 C2, 스케줄러를 통한 지속성 확보, 다국어 외교 문서 위장 기법 등이 과거 Kimsuky의 작전과 동일하게 나타나 해당 그룹에 귀속 |
|
출처 |
· The Coordinated Embassy Hunt: Unmasking the DPRK-linked GitHub C2 Espionage Campaign[2] |
Lazarus
Lazarus 그룹이 BeaverTail과 InvisibleFerret 변종을 ClickFix 기법과 악성 저장소를 통해 유포하며 암호화폐 및 소매 분야 인력을 겨냥한 공격을 수행했다.
| 사례 1. | |
|
시기 |
· 2025년 5월 이후 인프라 활동 식별 |
|
공격 대상 |
. 암호화폐(Web3) 분야 트레이더 및 마케팅 지원자 . 미국 전자상거래(리테일) 기업 인력 |
|
초기 침투 |
· ClickFix 소셜 엔지니어링 (가짜 채용 플랫폼, 가짜 오류/트러블슈팅 지침) · 패키지 저장소를 통한 유포 |
|
이용 취약점 |
· 없음 |
|
악성코드 및 도구 |
· BeaverTail : 자바스크립트 기반 정보 탈취 및 2차 페이로드 로더 · InvisibleFerret : Python 기반 정보 탈취 및 원격 액세스 도구 · ClickFix : 가짜 CAPTCHA/오류 메시지를 통한 명령 실행 유도 |
|
기법 |
· ClickFix 유도(가짜 오류창 및 OS별 명령어 실행) · 가짜 구직 플랫폼 및 투자 사칭 · 악성 저장소 이용 (GitHub 업로드, GitLab 연계) · 컴파일 된 실행 파일 형태로 배포 (pkg, PyInstaller 활용) · 비밀번호로 보호된 압축 파일을 통한 페이로드 전달 |
|
피해 |
· 암호화폐 지갑 관련 데이터, 브라우저 자격 증명 등 데이터 탈취 가능성 |
|
내용 |
· 기존 개발자 중심 공격에서 마케팅·트레이딩 지원자까지 확장 · macOS/Windows/Linux 환경별로 맞춤화된 감염 체인 사용 · VPN/프록시 IP 활용 확인 · 저위험 테스트 단계로 보이지만 새로운 전술 시도 가능성을 시사 |
|
출처 |
· Tech Note – BeaverTail variant distributed via malicious repositories and ClickFix lure[1] |
[1] https://gitlab-com.gitlab.io/gl-security/security-tech-notes/threat-intelligence-tech-notes/north-korean-malware-sept-2025/
[1] https://blog.alyac.co.kr/5620
[2] https://www.trellix.com/blogs/research/dprk-linked-github-c2-espionage-campaign/
