알림

2026년 4월 다크웹 위협 행위자 동향 보고서는 딥웹 및 다크웹에서 활동하는 핵티비스트와 위협 행위자의 동향을 정리한 내용이다. 일부 정보는 출처 특성상 사실 여부를 완전히 확인하기 어려운 사례가 포함되었다.

주요 이슈

• NoName05716은 한국 지역의 정부기관, 공공기관, 기업 등 수십 곳을 대상으로 반복적인 DDoS 공격을 주장했다. 단일 주장에서는 최대 22개 기관이 동시에 표적으로 나열되었다.
• 313 Team은 eBay의 일본 및 미국 웹사이트와 Bluesky 서비스 장애와 연계된 공격을 주장했다.
• Handala는 아랍에미리트 인프라와 미국 인디애나주 St. Joseph County 웹사이트에 대한 공격을 주장했다.
• RuskiNet Group은 이스라엘 10개 기업 대상 DDoS 공격을 주장했다.
• 일본에서는 Alps Alpine의 외부 VPN 시스템 무단 접속이 확인되었고, Municipal Nara Hospital에서는 EMR(전자의무기록) 장애가 발생했다. PayPay를 사칭한 피싱 캠페인도 확인되었다.
• 사우디아라비아 재무부 사칭 문서를 활용한 AppDomainManager 하이재킹 기반 APT 공격이 관측되었다.
• FBI는 AVrecon 악성코드(라우터 등 SOHO 네트워크 장치를 감염시켜 봇넷을 형성하는 악성코드) 기반 네트워크 장치 표적화에 대해 경고를 발령했다.
• TeamPCP와 Vect는 글로벌 스포츠 데이터 기업을 대상으로 한 공급망 공격을 주장했다.
• Scattered Spider 연계 19세 해커 Peter Stokes(피터 스톡스)가 기소되었고, HasanBroker(하산브로커)는 Scattered LAPSUS$ Hunters를 대상으로 전면전을 선포했다.
• 파리 검찰은 DarkForums에서 HexDex(헥스덱스) 사용자 계정을 압수하고 용의자를 체포했다.
• BreachForums 운영자 ‘NA’로 추정되는 Angel Tsvetkov(앤젤 츠베트코프)의 신원이 노출되었고, 독일 BKA는 REvil 및 GandCrab 운영자 “UNKN”(언크)의 신원을 공개했다.
• 법 집행 기관은 Maxstresser[.]com, VerifTools 마켓플레이스 인프라, W3LL phishing kit 유통 인프라를 압수했고, 러시아에서는 Cryptex(크립텍스) 단속과 암호화폐 자금세탁망 적발이 있었다.
• ALPHV/BlackCat 랜섬웨어 그룹 관련 협상가가 유죄를 인정했다.

결론

2026년 4월에는 지정학적 동기에 기반한 핵티비스트의 반복적 DDoS 공격 주장과 함께, 일본 지역의 실제 침해 사고와 피싱, APT, 공급망 공격 등 다양한 위협이 동시다발적으로 관측되었다. 동시에 법 집행 기관은 DDoS 대행 서비스, 사이버 범죄 마켓플레이스, 피싱 인프라, 랜섬웨어 관련 운영자와 자금세탁망을 상대로 연속적인 성과를 거두었다. 조직은 공공 인프라 방어, 공급망 보안, 피싱 대응, 원격 접속 인프라 보안 강화를 병행할 필요가 있다.