시기

·         2024년 11월 – 2025년 4월: OtterCookie v1-v4 활동

·         2025년 8월: OtterCookie v5 캠페인 관찰

공격 대상

·         소프트웨어 개발자 및 구직자 대상

·         암호화폐 관련 사용자 (ChessFi, 지갑, 크롬/브레이브 브라우저 등)

초기 침투

·         비트버킷(Bitbucket)에 업로드 된 트로이화 ChessFi Node.js 애플리케이션 설치 유도

·         npm 공식 저장소의 악성 패키지(node-nvm-ssh)를 postinstall 스크립트를 통해 실행

·         공격자는 Fiverr 또는 Discord를 통해 피해자에게 코드 저장소 전달

이용 취약점

·         없음

악성코드 및 도구

·         BeaverTail

·         OtterCookie v1-v5

·         InvisibleFerret : Python 기반 모듈

·         node-nvm-ssh : 악성 npm 패키지

·         ChessFi : 트로이화된 Node.js 앱

·         Mercer Onboarding Helper : 악성 VS Code 확장

·         AnyDesk : 원격 제어 도구

기법

·         키로깅 및 스크린샷 촬영 후 C2로 전송

·         클립보드 모니터링 및 내용 탈취

·         파일 시스템 열거 및 특정 확장자 파일 업로드

·         socket.io 기반 HTTP→WebSocket C2 통신

·         원격 쉘 명령 실행

·         난독화(Obfuscator.io, base64, XOR)

·         가상환경 탐지 및 안티디버깅

·         Python 환경 불필요화를 위한 JavaScript 기반 모듈화

피해

·         암호화폐 지갑, 브라우저 로그인 정보, 자격 증명 탈취

·         스크린샷·키 입력·클립보드 데이터 유출

·         AnyDesk 설치를 통한 원격 시스템 제어 가능성

내용

·         BeaverTail·OtterCookie 악성코드를 활용해 암호화폐·자격증명 탈취 작전 수행

·         BeaverTail과 OtterCookie 기능이 점차 병합되어 자바스크립트 기반으로 정보 탈취 기능 확장

·         OtterCookie는 버전별로 로더·파일 업로드·클립보드 탈취·가상환경 탐지·키로거 등 모듈을 발전시켜 v5에서 키로깅·스크린샷 기능 포함

·         공격자는 개발자·암호화폐 관련 생태계를 유인 수단으로 활용해 설치 유도 및 데이터 탈취 추구

출처

·         BeaverTail and OtterCookie evolve with a new Javascript module[1]

시기

·         2025년 7월: OtterCandy 배포

·         2025년 8월 말: OtterCandy v2 업데이트

공격 대상

·         일본 소프트웨어 개발자 및 구직자

초기 침투

·         ClickFake Interview 웹페이지를 통해 가짜 구직 및 인터뷰 사이트 ClickFix 연결

·         악성 Node.js 패키지 또는 애플리케이션 설치 형태로 배포

이용 취약점

·         없음

악성코드 및 도구

·         OtterCandy : Node.js 기반 RAT 및 정보탈취 툴

·         DiggingBeaver : 지속성 유지용 선행 도구

·         BeaverTail, GolangGhost, FrostyFerret

·         RATatouille 및 OtterCookie : 기능 통합 언급

기법

·         Socket.IO 를 이용한 C2 서버 연결 및 명령 수신

·         브라우저 확장 및 저장 데이터 탈취 (암호화폐 지갑 포함)

·         SIGINT 이벤트 수신 시 자체 재실행으로 간단한 지속성 유지

·         v2에서 client_id 추가, 탈취 대상 확대 (대상 브라우저 4개 → 7개로 확대), ss_del 명령으로 레지스트리 및 파일 삭제 추가 기능 확인

피해

·         브라우저 자격증명, 암호화폐 지갑

·         기밀 파일 유출 가능성

내용

·         BeaverTail 및 FrostyFerret 등 공유 도구를 활용하면서도 독자적인 OtterCandy 개발하여 공격 진행

·         OtterCandy는 RATatouille 및 OtterCookie의 기능을 통합한 Node.js 기반 멀티플랫폼 악성코드로 Windows, macOS, Linux 대상 공격에 활용

·         가짜 구직 사이트를 통해 악성 애플리케이션 설치를 유도함

출처

·         OtterCandy, malware used by WaterPlum[2]

시기

·         2025년 9월

공격 대상

·         한국 내 조직

초기 침투

·         VPN 견적서로 위장한 ZIP 첨부파일을 통한 피싱 이메일

이용 취약점

·         없음

악성코드 및 도구

·         Dropper

·         MemLoad

·         HttpTroy

기법

·         PDF 위장·COM 서버 등록

·         RC4 암호화 및 XOR 난독화

·         Base64 + XOR 2단계 통신 암호화

·         C2 통신: HTTP POST 기반, 명령·응답 구분 ID 시스템

·         AhnlabUpdate 스케줄러 등록 통한 지속성 유지

피해

·         파일 전송·다운로드, 스크린샷, 명령 실행 등 완전한 시스템 제어 가능

·         데이터 유출 및 지속적 원격 접근 위험 존재

내용

·         한국을 겨냥한 첩보형 캠페인을 지속 중이며, HttpTroy를 이용한 정찰·제어 기능 강화

·         다단계 구조, 난독화, 암호화, 그리고 시스템 서비스 악용을 통한 은폐가 특징

출처

·         DPRK’s Playbook: Kimsuky’s HttpTroy and Lazarus’s New BLINDINGCAN Variant[3]