시기

·         알 수 없음

공격 대상

·         소프트웨어 개발자 (특히 암호화폐 및 Web3 프로젝트 개발자)

초기 침투

·         LinkedIn 등에서 가짜 리크루터 프로필을 통한 사회공학 기법

·         ClickFix 기법 

·         GitLab 등에 업로드 된 악성 코드 프로젝트 전달

·         면접 과제로 위장하여 Node.js 기반 코드 실행 유도

이용 취약점

·         없음

악성코드 및 도구

·         BeaverTail: 시스템 정보, 지갑, 문서, Keychain 등 정보 탈취

·         OtterCookie: 정보 탈취형 악성코드

·         InvisibleFerret: Python 기반 modular RAT 

·         Tsunami Payload: Defender 예외 추가, 스케줄러 생성, Pastebin에서 다음 스테이지 다운로드 

·         Tsunami Injector: 패키지 설치 및 지속성 확보 

·         Tsunami Infector: Python 미설치 시 자동 설치 및 권한 상승 

·         TsunamiInstaller: .NET 기반 악성 페이로드 설치

기법

·         소셜 엔지니어링 기반 개발자 타깃 공격

·         JSON Keeper / JSONsilo / npoint.io 등 정상 JSON 저장소 서비스 악용

·         다단계 JavaScript 코드 난독화 및 페이로드 로딩 

·         Pastebin URL 대량 임베딩 및 XOR+Base64 디코딩 체인 

·         RSA 서명 검증을 통한 무결성 체크 

·         Python 환경 강제 설치 및 권한 상승 (UAC) 

·         TOR 통한 추가 페이로드 다운로드

피해

·         시스템 정보, 지갑, 로그, 환경변수 파일, 문서, PDF, 스크린샷 등의 민감 정보 탈취

·         macOS Keychain 탈취

내용

·         개발자 취업 면접을 위장한 캠페인 Contagious Interview 수행

·         GitLab 등에서 제공된 “데모 프로젝트” 내부에 JSON 저장소로부터 로드되는 악성 JavaScript 코드 삽입 

·         BeaverTail → InvisibleFerret → Tsunami 모듈로 이어지는 다단계 공격 체인 구성 

·         Pastebin 기반의 복잡한 URL 디코딩 체인을 통해 추가 단계 페이로드 로딩 

·         JSON 저장 서비스·코드 저장소·Pastebin 등 합법적인 인프라를 악용해 정적 탐지 우회 및 정상 트래픽 속에 위장

출처

·         Contagious Interview Actors Now Utilize JSON Storage Services for Malware Delivery[1]

시기

·         2025년 9월

공격 대상

·         한국 인터넷 서비스(Nate, Naver, Kakao) 사용자 계정 대상 피싱

초기 침투

·         공공기관 사칭 피싱 이메일 (여성가족부/국세청)

·         PHPMailer 사용 이메일 발송 

·         PDF나 TXT 파일로 위장한 LNK 파일

·         매크로 활성화를 유도한 DOC 파일

·         Nate, Naver, Kakao 등 한국어 기반 로그인 피싱 사이트

·         GitHub Releases 기반 악성 ZIP 다운로드 유도

이용 취약점

·         없음

악성코드 및 도구

·         KimJongRAT: 정보 탈취형 악성코드

·         sys.dll: PE 기반 KimJongRAT 모듈

·         user.txt/net64.log/app64.log/main64.log: 단계별 데이터 수집·마스터키 추출·C2 송신 모듈

·         v3.hta/pipe.zip/pipe.log/v3.log: Defender 상태 기반 PE 또는 PowerShell 분기

·         PowerShell 악성 스크립트(1.ps1, 1.log, 2.log): System 정보 수집, RAT 동작, 키로깅

·         HTA 기반 페이로드(doc.hta/pw.hta/kyc.hta): 다운로드 및 비밀번호 문서 위장

·         Google Drive, GitHub, URL 단축 서비스(link24.kr / buly.kr): 페이로드 호스팅

·         Phishing 인프라

기법

·         공공기관 위장 사회공학

·         GitHub Releases 악용한 payload 배포

·         TXT, PDF 파일로 위장한 LNK 파일 이용

·         비밀번호 보호 PDF → LNK 실행 유도

·         DOC 매크로 기반 VBS → PowerShell → HTA 체인

·         Base64·RC4·AES 등 다단계 암호화

·         Anti-VM, 무결성 체크, 탐지 회피

·         Chrome master key 추출(AppBound Encryption 우회)

·         키로깅·클립보드 탈취·파일 인덱싱

·         지속성 확보 (Run 레지스트리, Task 스케줄러)

·         Proxy 기반 로그인 피싱 페이지로 자격증명 가로채기

피해

·         웹 브라우저 계정·쿠키·암호 등 민감정보 탈취

·         Chrome master key 탈취를 통한 PW·쿠키 복호화

·         시스템 정보, 파일 목록, 프로그램 목록 탈취

·         키로깅·클립보드 정보 수집

·         메신저(텔레그램), FTP 계정, 암호화폐 지갑 데이터 탈취

·         자격증명(네이버·카카오·네이트 등) 탈취

내용

·         KimJongRAT 변종을 PE 및 PowerShell 두 가지 체인으로 병행 운영

·         GitHub, Google Drive, 한국 URL 단축 서비스 등 정상 서비스 악용

·         공공기관 위장 피싱·로그인 피싱·스피어 피싱을 연계하여 피해자 정보 및 브라우저 데이터 탈취

·         Chrome master key 복호화 모듈을 삽입해 대량 정보 탈취 자동화2025년 기준 PE+PowerShell 통합형 공격 흐름으로 진화 확인

출처

·         Kimsuky’s Ongoing Evolution of KimJongRAT and Expanding Threats[2]

시기

·         2025년 9월

공격 대상

·         한국 탈북자 전문 심리상담사

·         탈북자

초기 침투

·         국세청 등 한국 기관 사칭 스피어 피싱

·         악성 ZIP·MSI·LNK 파일 전달

·         카카오톡 계정 탈취 및 지인 사칭 메시지 전송

·         ‘스트레스 해소 프로그램’으로 위장한 파일 전달

이용 취약점

·         없음

악성코드 및 도구

·         IoKlTr.au3: AutoIt 기반 악성 스크립트

·         Stress Clear.msi: 악성 MSI 설치 패키지 

·         install.bat/error.vbs: 악성 동작 및 위장 메시지 실행 스크립트 

·         RemcosRAT : 원격 제어형 RAT 

·         LilithRAT: AutoIt 기반 RAT 

·         QuasarRAT: C# 기반 RAT 

·         RftRAT: 일본 C2 연결 기반 RAT 

·         autoit.vbs/install.bat : 2차 실행용

·         C2 인프라: 워드프레스 기반 서버, 다수의 해외 IP 사용

기법

·         카카오톡 지인 사칭 메시지 기반 악성파일 유포

·         구글 Find Hub 계정 탈취 후 원격 초기화

·         장기간 잠복 및 내부 정찰

·         웹캠·마이크 통한 원격 감시

·         AutoIt 기반 파일 은닉 및 스케줄러 등록

·         중국 기업 명의 디지털 서명 악용

·         스크립트 난독화(Base64, AES, HMAC 등)

·         WordPress 기반 C2 악용

·         계정 탈취 기반 2차 공격 전파

피해

·         안드로이드 스마트폰 및 태블릿의 원격 초기화·데이터 삭제

·         개인 식별정보·민감정보·웹캠 영상 및 음성 탈취

·         Google·Naver 계정 탈취

·         카카오톡 계정 탈취 후 지인에게 악성파일 유포

·         다수의 RAT 설치 통한 지속적 감시 및 추가 명령 실행

내용

·         한국인을 대상으로 스피어 피싱→계정 탈취→Find Hub 악용→단말 원격 초기화→카카오톡 기반 악성파일 확산 순으로 공격 수행

·         ‘스트레스 해소 프로그램’으로 위장한 MSI 기반 악성파일이 주요 감염 벡터로 활용됨

·         공격자는 Google 계정 접근을 확보한 후 Find Hub 기능으로 GPS 위치 조회 및 연속 원격 초기화 수행

·         피해자의 카카오톡 PC 세션을 악용해 2차 감염 확산 수행

·         AutoIt 기반 악성 스크립트와 다수 RAT(QuasarRAT, RemcosRAT 등)를 조합한 복합 공격 체인 확인

출처

·         국가 배후 위협 조직의 안드로이드 디바이스 대상 원격 초기화 전술[3]