시기

·         알 수 없음

공격 대상

·         국방, 방위사업체 또는 관련 직종의 전문 연구원

초기 침투

·         스피어 피싱 메일(자문 형태)로 배포된 “[자문]북한 신형 자폭드론.msc” 클릭 유도

·         MSC 파일(Windows MMC 파일)을 Word 문서로 위장하여 사용자가 문서 열기 수행하도록 유도

·         문서 열기 시 구글 문서(클라우드)에 연결해 “북한 신형 자폭드록.docx” 내용을 보여주어 신뢰 형성

이용 취약점

·         없음

악성코드 및 도구

·         [자문]북한 신형 자폭드론.msc

기법

·         MMC(.msc) 파일을 문서(Word)로 위장한 사회공학적 유인

·         MSC 파일 내부의 하드코딩 쉘 코드 실행으로 외부 페이로드 다운로드 시도

·         구글 클라우드 문서 표시를 통한 신뢰 형성 및 문서 열기 유도

·         다운로드 된 XML/VBS 파일을 작업 스케줄러에 등록해 지속성 확보

·         C&C와 통신하여 원격 명령(백도어 기능) 수신·실행 시도

피해

·         감염 시 백도어 역할을 수행하여 C&C로부터 명령을 받아 장기적인 APT 공격에 이용될 가능성

내용

·         제공된 내용은 “[자문]북한 신형 자폭드론.msc” 파일이 워드 문서로 위장해 사용자에게 문서 열기 유도

·         내부 하드코딩 쉘 코드로 지정된 C&C에 접속해 4개의 파일(XML/VBS)을 다운로드·저장한 뒤 작업 스케줄러에 등록하여 지속성을 확보

·         최종적으로 백도어 기능을 갖춘 페이로드로 원격 명령 수행

출처

·         ＂북한 신형 자폭드론＂ 관련 내용으로 위장한 악성 MSC 문서[1]

시기

·         2025년 2월 – 7월

공격 대상

·         한국 국방 관련 기관 및 군사 공무원증 발급 관련 부서

·         민간 북한 관련 연구자, 북한 인권 활동가, 언론인 등

초기 침투

·         스피어 피싱 이메일 (군사 공무원증 초안 위장, 기사 투고 요청 위장)

·         피싱 이메일 (포털 보안 알림 사칭, HWP 문서 첨부 위장)

·         악성 링크 클릭 유도 (C2 서버 연결)

이용 취약점

·         없음

악성코드 및 도구

·         HncUpdateTray.exe (실제는 AutoIt3.exe) : AutoIt 스크립트 실행

·         config.bin : 컴파일된 AutoIt 스크립트

·         LhUdPC3G.bat : 난독화된 배치 파일

·         ms3360.bat, zarokey291.bat, tempprivate0082.bat 등 배치 파일

기법

·         딥 페이크 이미지 생성해 군사 공무원증 위조

·         군사 기관, 연구기관, 포털 보안 경고를 미끼로 스피어 피싱 메일

·         난독화 된 PowerShell/Batch 스크립트 실행

·         AutoIt 스크립트 기반 공격

·         Process Hollowing 기법

·         AI 테마(메일 관리 기능, ID 발급 등) 활용

·         주석/패딩 기반 Python 코드 난독화

피해

·         계정 정보 탈취 가능성

·         내부 데이터 탈취 및 원격 제어 가능성

내용

·         Kimsuky 그룹이 ChatGPT로 생성한 군사 공무원증 딥 페이크 이미지를 이용해 국방 관련 기관을 사칭하는 스피어 피싱 공격 수행

·         기존 ClickFix 기법(포털 보안 알림 위장)과 연계된 공격 흐름 확인

·         LNK 파일, 배치 스크립트, AutoIt 스크립트, Pythonw.exe 기반 난독화 기법 활용

·         한국 내 국방, 통일, 정치·사회 이슈를 미끼로 한 공격 캠페인 전개

출처

. AI 딥페이크 기반 군 공무원증 위조 Kimsuky APT 캠페인[2]

시기

·         2025년 5월 이후 인프라 활동 식별

공격 대상

.   암호화폐(Web3) 분야 트레이더 및 마케팅 지원자

.  미국 전자상거래(리테일) 기업 인력

초기 침투

·         ClickFix 소셜 엔지니어링 (가짜 채용 플랫폼, 가짜 오류/트러블슈팅 지침)

·         패키지 저장소를 통한 유포

이용 취약점

·         없음

악성코드 및 도구

·         BeaverTail : 자바스크립트 기반 정보 탈취 및 2차 페이로드 로더

·         InvisibleFerret : Python 기반 정보 탈취 및 원격 액세스 도구

·         ClickFix : 가짜 CAPTCHA/오류 메시지를 통한 명령 실행 유도

기법

·         ClickFix 유도(가짜 오류창 및 OS별 명령어 실행)

·         가짜 구직 플랫폼 및 투자 사칭

·         악성 저장소 이용 (GitHub 업로드, GitLab 연계)

·         컴파일 된 실행 파일 형태로 배포 (pkg, PyInstaller 활용)

·         비밀번호로 보호된 압축 파일을 통한 페이로드 전달

피해

·         암호화폐 지갑 관련 데이터, 브라우저 자격 증명 등 데이터 탈취 가능성

내용

·         기존 개발자 중심 공격에서 마케팅·트레이딩 지원자까지 확장

·         macOS/Windows/Linux 환경별로 맞춤화된 감염 체인 사용

·         VPN/프록시 IP 활용 확인

·         저위험 테스트 단계로 보이지만 새로운 전술 시도 가능성을 시사

출처

·         Tech Note – BeaverTail variant distributed via malicious repositories and ClickFix lure[3]

시기

·         2025년 6월

공격 대상

·         대한민국

·         국제관계·정치학·학계·연구자 등 북한 관련 분야에 종사하는 개인

초기 침투

·         LNK(바로가기) 실행 → PowerShell(Chinotto)

·         CHM(Windows 도움말) → HTA·PowerShell

·         원격 CAB/RAR 파일 다운로드/실행.

이용 취약점

·         없음

악성코드 및 도구

·         Rustonotto: Rust 컴파일 백도어(HTTP·Base64 명령/응답)

·         Chinotto: PowerShell 백도어(파일전달, 명령실행, 레지스트리·스케줄 작업 등)

·         FadeStealer: 키로깅·스크린샷·오디오·장치 수집·파일 수집 후 암호화 RAR로 침투

기법

·         정치·외교 문서 위장한 사회공학

·         TxF 기반 Process Doppelgänging(트랜잭션 파일 작성·섹션 유지·롤백 후 매핑)으로 은닉 실행

·         스케줄러·레지스트리로 지속성 확보

피해

·         민감자료 수집·탈취

·         키로깅, 30초 간격 스크린샷, 마이크 녹음, USB/MTP 장치 내용 수집을 통한 지속적 감시

내용

·         Rust 언어로 제작된 백도어 Rustonotto와 Python 기반 로더를 사용해 다단계 침투 및 정보수집을 수행

·         C2 인프라는 단일 PHP 기반 구조를 사용해 Chinotto · FadeStealer · Rustonotto를 통합 제어

·         FadeStealer는 키로깅, 스크린샷, 오디오·USB·스마트폰 데이터 수집 등 종합 감시 기능 수행

출처

·         APT37 Targets Windows with Rust Backdoor and Python Loader[4]