2026년 4월 APT 그룹 동향 보고서
목적 및 범위
본 보고서는 국가 지원을 받는 것으로 추정되는 국가 주도 위협 그룹의 사이버 간첩(Cyber Espionage)과 비밀 파괴공작(Sabotage) 활동을 다룬다. 금전적 이득 목적의 사이버 범죄 그룹은 제외했다. 최근 한 달간 공개된 분석을 바탕으로 ATIP 기준 Threat Actors 대표 이름에 따라 분류했다.
지역별 주요 APT 그룹 현황
북한.
북한 연계 그룹은 개발자와 암호화폐 환경을 집중적으로 노렸다. UNC1069는 Axios NPM 패키지 변조와 악성 의존성 삽입으로 공급망 공격을 수행했고, Lazarus는 가짜 인터뷰, GitHub 프로젝트, AI 콘텐츠, ClickFix(사용자에게 직접 명령 실행을 유도하는 기법)를 결합해 macOS와 Web3, 암호화폐 환경으로 공격 범위를 넓혔다.
Famous Chollima.
Famous Chollima(Contagious Interview)는 npm, PyPI, Go Modules, crates.io, Packagist 등 5개 오픈소스 생태계에 악성 패키지를 게시해 staged RAT payload를 전달했다. 자격 증명, 브라우저 데이터, 암호 관리자 정보, 암호화폐 지갑 데이터를 탈취했다.
VoidDokkaebi.
VoidDokkaebi는 가짜 취업 인터뷰로 개발자를 감염시키고 코드 저장소를 공급망 감염 채널로 전환했다. DEV#POPPER RAT, InvisibleFerret, OtterCookie, OmniStealer, BeaverTail 등이 언급되었다.
중국.
중국 연계 그룹은 클라우드와 네트워크 인프라를 주요 표적으로 삼았다. Mustang Panda는 유럽과 중동 정부, 외교 기관을 대상으로 웹 버그 정찰, OAuth redirect 악용, 가짜 Cloudflare Turnstile page, PlugX 배포를 수행했다. Silver Fox는 일본 사용자를 대상으로 Rakuten 청구서 미끼와 Dell/Waves MaxxAudio 정상 서명 실행 파일을 이용한 DLL sideloading으로 ValleyRAT를 실행했다.
러시아.
APT28은 취약한 SOHO 라우터와 네트워크 장비를 침해해 DNS 설정을 변조하고 트래픽을 공격자 인프라로 우회시켰다. 동시에 Windows LNK 파일 기반 공격 체인에서 제로클릭 취약점(CVE-2026-32202)을 활용해 NTLM 인증 정보를 탈취했다. Sandworm(APT-C-13)은 악성 LNK가 포함된 ZIP 파일을 통해 침투한 뒤 Tor와 SSH 중첩 터널로 SMB, RDP, SSH 서비스를 Onion 도메인에 매핑했다.
이란.
Charming Kitten(APT35)은 Exchange Server 프록시 로그인 취약점(CVE-2021-26855)을 이용해 다층 기반시설을 운용했고, OilRig APT-C-49는 Excel 매크로와 GitHub, Google Drive, Telegram Bot을 결합한 은닉형 C2 체계를 사용했다. Bitter는 ProSpy 등 Android 스파이웨어를 이용해 중동 시민사회와 정부 관련 대상을 노렸다.
파키스탄.
Transparent Tribe(APT36)는 대규모 도메인 스푸핑 캠페인 Operation TrustTrap으로 정부 포털을 모방해 자격 증명과 결제 카드 탈취를 시도했다. 또 Linux 환경에서 .desktop 파일을 악용한 DeskRAT와 WebSocket C2를 운용했다.
기타.
Harvester는 GoGra Linux Backdoor로 Microsoft Graph API와 Outlook mailbox를 은닉 C2 채널로 악용했다. TGR-STA-1030은 피싱, 공개 취약점, Cobalt Strike, VShell, ShadowGuard eBPF 루트킷을 결합한 글로벌 스파이 활동을 수행했다. UAT-4356은 Cisco Firepower FXOS 장치에 CVE-2025-20333과 CVE-2025-20362를 악용해 FIRESTARTER 백도어를 배치했다.
결론
2026년 4월에는 총 15개의 APT 그룹 정보가 공개되었다. 주요 공격은 이메일과 SNS 기반 사회공학, 공급망 침해, 라우터와 네트워크 장비 장악, 제로클릭과 취약점 악용으로 요약된다. 안보, 에너지, 외교, 정치, 첨단 산업, 항공우주 분야는 주요 표적이므로 단계별 대응체계와 내부 가시성 확보가 필요하다.
