목적 및 범위.

본 보고서는 국가 지원으로 추정되는 APT 그룹의 전략·기법·영향을 분석한다.
금전형 범죄 그룹은 범위에서 제외되며, ATIP의 대표 이름 기준으로 주요 위협 행위를 정리한다.
최근 한 달 공개 자료를 바탕으로 13개 APT 그룹의 활동을 집계했다.

지역별 주요 APT 그룹 현황.

• 북한 계열: Famous Chollima는 가짜 채용 인터뷰와 VS Code·NPM 리포지토리 악용으로 개발자 엔드포인트에 모듈형 Node.js·Python·Go 악성코드를 배포하여 자격증명과 소스코드, 지갑 키를 탈취한다.
• 이란 계열: Handala는 정보수집과 시스템 파괴를 결합해 BiBi/Hatef 와이퍼로 의료·교육·인프라를 마비시키고 공개 메시지로 정치적 영향을 확대한다.
• MuddyWater 등은 Deno 기반 Dindoor, Python Fakeset과 합법적 클라우드 스토리지를 이용한 페이로드 전달과 데이터 유출 시도를 통해 미국·이스라엘·캐나다 조직을 침해했다.
• 중국 계열: Silver Dragon·UAT-9244 등은 커널·드라이버 수준 은폐, Google Drive·BitTorrent 등 신뢰 서비스 기반 C2로 장기 잠복형 정보수집을 수행한다.
• 러시아 계열: APT28·Sandworm은 전통적 스파이·파괴 병행 전략으로 Roundcube·RDP·엣지 장비 취약점과 와이퍼·OT 모듈을 이용해 국가 핵심 인프라를 위협한다.
• 남아시아·파키스탄 계열: SloppyLemming·Transparent Tribe는 ClickOnce, LNK, ISO 등 신뢰 기반 실행 체인을 악용하고 AI 보조·비주류 언어로 다수 변종을 생산한다.

결론.

국가 주도 APT들은 사회공학과 정상 툴·클라우드 서비스를 결합해 은닉성·지속성을 강화하고 표적별 맞춤 유인으로 높은 성공률을 확보하고 있다.
표적 조직은 개발자 환경·클라우드 사용·이메일·원격 접근 경로에 대한 가시성 확보와 위협 인텔 기반 대응 체계가 필요하다.