APT

2026년 2월 APT 그룹 동향 보고서

  • 3월 12 2026
2026년 2월 APT 그룹 동향 보고서

중점 APT 그룹

 

2026년 2월 APT 그룹들의 활동 중 APT28, Lotus Blossom, TA-RedAnt (APT37), UAT-8616, UNC3886, UNC6201의 공격이 특히 두드러졌다.

 

Lotus Blossom은 Notepad++ 공급망 인프라를 악용해 정상 업데이트 과정에 악성 실행 파일을 주입하고, DLL 사이드로딩과 다단계 로더를 결합해 Chrysalis 백도어와 Cobalt Strike Beacon을 배포했다. 이 공격은 개발자·정부기관·통신·항공 등 다양한 조직이 사용하는 업데이트 체인을 겨냥한 공급망 침해로, 감염 후 시스템 정보 수집, 원격 명령 실행, 파일 유출이 가능해지는 등 위험도가 매우 높다.

 

APT28은 Microsoft Office 및 MSHTML 제로데이(CVE-2026-21509, CVE-2026-21513)가 공개된 직후 이를 무기화하여 유럽의 군사·정부·운송 기관과 우크라이나 조직을 대상으로 대규모 공격을 수행했다. 이들은 스피어피싱 문서, LNK 기반 익스플로잇, WebDAV 외부 호출, COM 하이재킹, 스테가노그래피 등 복잡한 다단계 로딩 체인을 활용해 탐지를 우회하고 최종적으로 Covenant Grunt 등 원격제어 임플란트를 설치해 장기간 내부 장악력을 유지했다.

 

TA-RedAnt(APT37)은 망분리(Air-gapped) 환경을 정면으로 겨냥해 LNK 기반 초기 침투, Zoho WorkDrive 기반 C2 통신, Ruby 런타임 드로퍼, 이동식 매체(USB)를 통한 명령 전달 및 데이터 유출 등 다양한 ‘망 분리 우회’ 기술을 결합했다. 이로 인해 폐쇄망 환경에서도 지속적 정찰, 키로깅, 오디오·비디오 수집 등이 가능해져 에어갭 보안 모델을 실질적으로 무력화할 수 있는 높은 위협성을 보여준다.

 

UNC3886은 싱가포르 주요 통신사를 대상으로 제로데이를 활용해 경계 방화벽을 우회하고 ORB 네트워크 기반 은닉 통신을 구성하여 루트킷을 통해 탐지를 회피하는 동시에 통신 인프라 기술 데이터를 탈취한 것이 확인되었다.

 

UAT-8616은 Cisco Catalyst SD-WAN의 인증 우회 제로데이(CVE-2026-20127)를 악용해 관리자 권한을 확보한 뒤, 추가 취약점(CVE-2022-20775)까지 연계해 루트 권한을 탈취하며 제어면에 장기 거점을 구축했다. 또한 UNC6201은 Dell RecoverPoint for Virtual Machines 제로데이(CVE-2026-22769)를 악용해 VMware 백업·복구 인프라를 직접 침해하고 GRIMBOLT·BRICKSTORM 백도어를 배포해 복구 체계를 무력화하는 고위험 공격을 수행했다.

 

지역별 주요 APT 그룹 동향

 

1)   북한

 

북한 계열 위협그룹들은 금전 탈취 목적을 강화하며, Medusa RaaS를 활용해 의료·비영리기관 등을 대상으로 한 금전·중간자 공격을 확대하고 있다. 또한 ‘Prospect Call’처럼 정상 비즈니스 미팅을 위장한 실시간 사회공학 기법을 활용해 macOS 자격 증명을 직접 탈취하는 고도화된 상호작용형 공격을 시도하고 있다. 이와 병행해 UNC1069는 딥페이크 영상·가짜 Zoom 회의·ClickFix 기반 명령 실행 등 AI·미팅 플랫폼을 악용한 금융 범죄형 침해 기법을 적극 활용하고 있으며, TA-RedAnt (APT37)은 Zoho WorkDrive C2·USB 기반 전파·Ruby 기반 로더를 결합해 망분리(air-gapped) 환경까지 침투하는 다단계 공격 능력을 고도화하고 있다.

 

북한 위협그룹들은 RaaS 활용 확대, 실시간 사회공학, AI·딥페이크 기반 신뢰 악용, 그리고 분리망 침투 기술 고도화라는 네 가지 축을 중심으로 금융·암호화폐·의료 등 고가치 분야에 대한 공격을 빠르게 진화시키고 있다.

 

Lazarus

 

Lazarus는 Medusa 랜섬웨어를 활용해 미국 의료 부문과 중동 내 조직을 대상으로 금전 목적의 랜섬웨어 및 갈취 공격을 수행했다.

 

사례 1.

시기

·         2025년 11월 – 2026년 2월

공격 대상

·         미국 의료 기관

·         미국 정신건강 분야 비영리 단체

·         자폐 아동 교육 시설

·         미국 민간 기업 3곳

·         중동 지역 조직

초기 침투

·         Medusa 랜섬웨어 배포

·         기존 침투 후 랜섬웨어 전개 시도

·         금전 목적 침투 수행

이용 취약점

·         없음

악성코드 및 도구

·         Medusa : 랜섬웨어로, 랜섬웨어-서비스로 운영

·         Comebacker : 라자루스와 관련된 맞춤형 백도어 및 로더

·         Blindingcan : 라자루스와 관련된 원격 접근 트로이 목마

·         ChromeStealer : 크롬 브라우저에서 저장된 비밀번호 추출 도구

·         Curl : 다양한 네트워크 프로토콜을 사용하는 데이터 전송 도구

·         Infohook : 정보 탈취 악성코드

·         Mimikatz : 공개된 자격 증명 덤프 도구

·         RP_Proxy : 맞춤형 프록시 도구

기법

·         RaaS 모델 활용

·         미국 의료 기관 대상 갈취 공격 수행

·         자격 증명 덤핑 도구 사용

·         브라우저 저장 비밀번호 탈취

·         커스텀 백도어 및 RAT 활용

·         프록시 도구를 통한 네트워크 통신 우회

·         금전 목적 랜섬웨어 배포

피해

·         데이터 암호화

·         몸값 요구 평균 260,000달러 요구

·         의료 기관 대상 운영 중단 위험 초래

·         금전 갈취 시도

내용

·         Lazarus, Medusa 랜섬웨어 활용해 미국 의료 부문 대상 갈취 공격 수행

·         중동 조직 대상 Medusa 랜섬웨어 배포 수행

·         미국 의료 기관 3곳 대상 침투 시도 수행

·         Comebacker·Blindingcan 등 도구 활용해 침투 및 자격 증명 수집 수행

·         ChromeStealer 및 Mimikatz 활용해 자격 증명 탈취 수행

·         RaaS 모델 기반으로 금전 수익 창출 목적 활동 지속

출처

·         North Korean Lazarus Group Now Working With Medusa Ransomware[1]

 

Lazarus 그룹과 연관된 BlueNoroff는 Telegram과 Microsoft Teams 미끼 통화를 이용해 macOS 사용자가 직접 터미널 명령을 실행하도록 유도하고, Keychain 자격증명 탈취와 유출용 데이터 스테이징을 수행했다.

 

사례 2.

시기

·         2025년 6월 30일 – 2026년 1월 20일

공격 대상

·         macOS 사용자

·         crypto/Web3 조직

·         금융 조직

초기 침투

·         Telegram에서 잠재 고객 또는 파트너로 사칭

·         대화를 Microsoft Teams 통화로 전환

·         오디오 문제 해결을 명분으로 터미널 명령 실행 유도

·         lookalike 도메인 teams.microscall[.]com 사용

이용 취약점

·         없음

악성코드 및 도구

·         curl : 악성 바이너리 다운로드

·         chmod : 다운로드 파일 실행 권한 부여

·         codesign : ad-hoc 코드 서명 수행

·         nohup : 백그라운드·분리 실행 수행

·         osascript : 디렉터리 생성 및 파일 복사를 통한 데이터 스테이징 수행

·         com.apple.sys.receipt : 캐시 경로에 저장된 실행 파일

·         com.apple.icloud.sync : 임시 app bundle 경로에서 실행된 2차 컴포넌트

·         .aLTJwk : /private/tmp 경로에서 실행된 숨김 파일

기법

·         Telegram 기반 사전 접촉 및 신뢰 형성

·         Teams 통화 기반 실시간 소셜 엔지니어링

·         오디오 트러블슈팅 명분 사용

·         시스템 경로처럼 보이도록 캐시 경로 위장

·         curl로 페이로드 다운로드

·         chmod 777로 권한 변경

·         ad-hoc 코드 서명으로 실행 마찰 감소

·         nohup 기반 분리 실행

·         임시 경로의 2차 컴포넌트 실행

·         zip 압축 해제 후 숨김 파일 실행

·         사용자 Keychain 데이터베이스 직접 복사

·         AppleScript 기반 데이터 스테이징

·         공격자 통제 신규 도메인으로 아웃바운드 연결

피해

·         사용자 Keychain 자격증명 접근

·         자격증명 탈취

·         데이터 유출 준비

·         공격자 통제 인프라와 통신 발생

내용

·         Telegram에서 비즈니스 잠재 고객 또는 파트너로 사칭 후 Teams 통화로 유도

·         오디오 문제 해결을 명분으로 피해자에게 터미널 명령 직접 실행 유도

·         curl로 /Library/Caches/com.apple.sys.receipt 경로에 바이너리 다운로드 및 실행 권한 부여

·         codesign과 nohup을 이용해 실행 마찰 감소 및 분리 실행 수행

·         /private/tmp/com.apple.icloud.sync.app 이하 2차 컴포넌트와 숨김 파일 추가 실행

·         login.keychain-db 복사로 자격증명 수집 수행

·         osascript로 파일과 디렉터리 스테이징 후 유출 준비

출처

·         North Korea’s “Prospect Call” Trap: Lazarus Turns Teams Meetings into macOS Credential Theft[2]

 

 

[1] https://www.security.com/threat-intelligence/lazarus-medusa-ransomware

[2] https://daylight.ai/blog/prospect-call-microsoft-teams-meetings

 

Tags:
Previous Post