APT

2026년 4월 APT 공격 동향 보고서(국내)

5월 26 2026

개요

안랩은 자사 인프라를 활용해 국내 타겟의 APT(Advanced Persistent Threat, 지속적으로 침투를 시도하는 공격) 공격을 모니터링했다. 본 보고서는 2026년 4월 한 달 동안 확인된 국내 APT 공격의 분류, 통계, 유형별 기능을 정리했다.

APT 국내 공격 동향

국내에서 확인된 APT 공격의 대부분은 Spear Phishing(특정 개인이나 집단을 노린 피싱) 방식으로 유포됐다. 공격자는 이메일 스푸핑, 악성 첨부 파일, 악성 링크를 활용해 사용자의 실행을 유도했다.

Type A

LNK 파일에 포함된 악성 PowerShell(윈도우 명령 실행 스크립트) 명령으로 외부 URL에 접속해 추가 파일을 내려받는 유형이다. curl.exe를 다른 파일명으로 복사해 실행하는 점이 특징이며, 정상 AutoIt 프로그램과 악성 AutoIt 스크립트를 내려받아 작업 스케줄러에 등록해 지속성을 확보했다. 악성 AutoIt 스크립트는 명령 실행, 디렉토리 조회, 파일 업로드, 파일 다운로드 기능을 수행했다.

Type B

LNK 내부의 PowerShell 스크립트가 특정 마커(NCFO, BCFO 등)를 기준으로 HEX 데이터를 추출해 정상 디코이 문서와 정상 AutoIt 프로그램, 악성 AutoIt 스크립트를 복원 및 실행하는 유형이다. 정상 문서로 사용자를 속이는 동시에 C:\ProgramData 경로에서 악성 스크립트를 동작시켰고, 원드라이브 업데이트를 위장한 작업 스케줄러를 등록했다. 감염 시스템은 컴퓨터명과 사용자명을 기반으로 생성된 PubNub 채널을 통해 공격자의 명령을 수신 및 실행하고, 결과를 Base64로 인코딩해 외부로 유출했다.

Type C

윈도우 기본 탑재 도구인 curl.exe를 이용해 악성 HTA(HTML Application, HTA 스크립트 파일) 파일을 %TEMP% 폴더에 다운로드 및 실행하는 유형이다. 악성 HTA 파일은 공격자가 운영하는 Github 저장소 또는 Google 드라이브를 통해 유포됐으며, 디코이 파일과 sys.dll 파일명을 가지는 다운로더를 생성했다. 이 다운로더는 시스템 정보, 주요 파일 목록, 가상 자산 관련 정보 등을 유출하는 인포스틸러(정보 탈취 악성코드), 키로거(키 입력 기록 악성코드), 백도어를 메모리에 로드했다.

Type D

LNK에 포함된 PowerShell 코드가 동작해 Base64로 인코딩된 데이터를 %temp% 경로에 생성 후 실행하는 유형이다. 이후 Github 저장소에 접속해 디코이 파일과 추가 악성 스크립트를 내려받아 실행했으며, 브라우저 업데이트를 위장한 작업 스케줄러를 생성했다. 결과적으로 시스템 정보를 유출하고 XenoRAT(원격 제어 악성코드) 유형의 악성코드를 배포했다.

Type E

LNK 내부의 XML, VBS, PowerShell 스크립트가 데이터를 생성하고 작업 스케줄러를 등록해 지속성을 확보하는 유형이다. VBS를 통해 실행되는 PowerShell 스크립트는 감염 시스템 정보를 외부로 전송한 뒤 추가 BAT 파일을 내려받아 실행했다. BAT 파일은 압축 파일 내부의 악성 Python 스크립트를 실행했고, 최종적으로 원격 명령 수행과 파일 제어가 가능한 백도어가 실행됐다.

Type Unknown

스피어 피싱으로 유포됐지만 앞서 설명한 유형에 포함되지 않는 사례가 확인됐다.

안랩 대응 현황

안랩 제품군은 Backdoor/Win.Agent.C5882829, Infostealer/Win.Agent.C5882827, Trojan/LNK.Agent, Trojan/PS.Agent, Trojan/HTA.Agent, Trojan/VBS.Agent, Trojan/XML.Task 등 다양한 진단명으로 관련 악성코드를 탐지했다. 다만 최근에 파악된 활동이라도 과거 관련 악성코드를 진단했을 수 있으며, 확인되지 않아 진단되지 않는 변형도 존재할 수 있다.

결론

이번 국내 APT 공격은 주로 업무 관련 내용처럼 위장한 Spear Phishing 메일로 시작됐고, LNK 파일과 PowerShell, curl.exe, AutoIt, HTA, VBS, BAT, Python 등 다양한 형식의 악성코드가 사용됐다. 공격 성공 시 백도어 설치, 인포스틸러 동작, 시스템 정보 유출, 감염 시스템 제어 탈취가 발생할 수 있다. 출처가 불분명한 파일을 열지 않고, 발신자 확인을 철저히 하며, OS와 인터넷 브라우저를 포함한 프로그램을 최신 패치와 V3 최신 버전으로 유지하는 것이 필요하다.

MD5

04f017c65870791af565edcdd7407cf8

087955e719d00c7a0a07f1ed610894a2

0906e4d23fb07668c024263bc0311cff

0e5509da6e2d2f12250821b871b439c3

1194f56e15beb69fc41e498e240410f4

URL

https[:]//aplore[.]kesug[.]com/atratek/anyware[.]txt

https[:]//aplore[.]kesug[.]com/fixpril/energy[.]txt

https[:]//aplore[.]kesug[.]com/riln[.]php

https[:]//hypernotepad[.]com/n/9ad499c02eb051df

https[:]//sixtysixrealestate[.]com/wp-admin/maint/sophomore/?Eey=cWJvT0

개요