APT

2026년 5월 APT 그룹 동향 보고서

  • 6월 16 2026
2026년 5월 APT 그룹 동향 보고서

목적 및 범위

2026년 5월 APT 동향에서는 공급망·개발자 환경 공격, 자동화된 초기 침투, 정상 실행 환경(Runtime) 악용이 핵심 변화로 나타났다. Lazarus, Famous Chollima, Gamaredon, MuddyWater, Nimbus Manticore가 특히 주목 대상이다.

지역별 주요 APT 그룹 현황

북한

  • Lazarus는 Git Hooks(커밋·브랜치 변경 시 자동 실행되는 Git 기능)와 Jenkins CI/CD(지속적 통합·배포 환경)를 악용해 개발 흐름 자체를 감염 경로로 사용했다. pre-commit, post-checkout 훅으로 InvisibleFerret, Beavertail, FCCCall 감염을 유도했고, 암호화폐 지갑과 개발자 자격증명 탈취 위험을 높였다.
  • Famous Chollima는 npm, Packagist 개발 브랜치를 오염하고 Cloudflare Workers와 블록체인 RPC를 통해 페이로드를 전달했다. 정상 패키지의 개발 브랜치만 변조하거나 블록체인 인프라를 데드 드롭으로 활용해 탐지를 회피하려 했다.
  • Kimsuky는 LNK 피싱, GitHub, Dropbox, GitLab, VSCode 터널링, Microsoft CDN 등을 이용해 다단계 로더와 AsyncRAT 변종, PebbleDash 기반 도구, MoonPeak, HttpSpy를 배포했다. 한국, 아프가니스탄, 교육·국방·외교·암호화폐 관련 대상을 넓게 겨냥했다.
  • TA-RedAnt는 연변 지역 게임 플랫폼과 Windows 업데이트 체인을 침해해 BirdCall, RokRAT, 트로이목마화된 mono.dll을 배포했다. 또 스피어 피싱과 Python Embed, .cat 위장 백도어를 통해 국방·경찰·대북 분야를 노렸다.

중국

  • Famous Sparrow는 Microsoft Exchange의 CVE-2021-34473, CVE-2021-34523, CVE-2021-31207, CVE-2022-41040, CVE-2022-41082를 악용해 아제르바이잔 석유·가스 기업을 침해했다. 웹셸, DLL 사이드로딩, Deed RAT, Terndoor를 이용해 장기 접근과 측면 이동을 수행했다.
  • Red Lamassu는 공개 디렉터리 기반 DLL 사이드로딩으로 JFMBackdoor를 메모리에서 실행했고, 아프가니스탄 통신 및 아시아 태평양 정부기관을 겨냥했다.
  • UAT-8302는 MS Graph API, OneDrive, 프록시 체인, NetDraft, CloudSorcerer v3, VSHELL, SNOWLIGHT, SNOWRUST, DeedRAT, ZingDoor 등을 운용해 정보 수집, 크리덴셜 탈취, 내부 확산을 수행했다.
  • UNC5174는 중국어권 암호화 IM 공식 사이트 설치 파일을 변조하고 Windows와 Linux에서 SNOWLIGHT와 nps 터널을 사용해 침투와 터널링을 수행했다.
  • Webworm은 Discord, Microsoft Graph API, GitHub, 손상된 Amazon S3 버킷을 활용해 EchoCreep, GraphWorm, WormFrp, ChainWorm, SmuxProxy, WormSocket을 운용했다.
  • OceanLotus는 PyPI 패키지 uuid32-utils, colorinal, termncolor에 ZiChatBot을 숨기고 Zulip REST API를 C2로 사용했다.

러시아

  • Gamaredon(UAC-0010)은 WinRAR 취약점 CVE-2025-8088을 악용해 우크라이나 정부·사법·안보 기관을 대상으로 공격했고, NTFS ADS와 Startup 폴더를 이용해 GammaDrop, GammaLoad를 자동 설치했다.
  • GREYVIBE는 맞춤 피싱, 가짜 CAPTCHA, 가짜 성인 클럽 사이트를 활용해 PhantomRelay, LegionRelay, FallSpy(Android)를 배포했다. Ideogram AI, ChatGPT, Gemini 등 생성형 AI를 미끼 콘텐츠와 악성코드 개발에 활용했다.
  • Cloud Atlas는 피싱 LNK, PowerShell, VBCloud, PowerShower, Reverse SSH, RevSocks, Tor를 활용해 러시아·벨라루스 정부와 외교기관을 노렸다.
  • Paper Werewolf는 PDF 피싱과 Inno Setup 인스톨러, JS·Python·C++·.NET 로더로 EchoGather RAT, PaperGrabber, Mythic 임플란트를 배포했다.
  • Silent Lynx는 Telegram을 통한 압축파일 전달과 서비스 위장, TLS/TCP 리버스 셸로 지속적 원격 제어를 수행했다.

이란

  • MuddyWater는 Microsoft Teams 기반 소셜 엔지니어링과 Quick Assist 피싱, AnyDesk, DWAgent, Game.exe RAT를 결합해 데이터 유출과 갈취를 수행했다.
  • 또 다른 MuddyWater 활동에서는 DLL 사이드로딩, Node.js, PowerShell, 공개 파일 전송 서비스를 이용해 정찰, 권한 상승, 터널링, 자격증명 탈취를 수행했다.
  • Nimbus Manticore는 Trojanized Zoom installer와 가짜 SQL Developer 다운로드 사이트를 이용했고, .NET AppDomain Hijacking으로 MiniJunk, MiniFast를 배포했다.
  • Screening Serpens는 DLL 사이드로딩과 AppDomainManager 하이재킹으로 MiniUpdate, MiniJunk V2를 배포하며 탐지를 약화시켰다.

파키스탄

  • Transparent Tribe(SideCopy)는 아프가니스탄 재정 부문을 대상으로 ZIP, 악성 LNK, mshta.exe, HTA, JavaScript, .NET 메모리 실행 체인을 이용해 XenoRAT을 배포했다.

기타

  • FrostyNeighbor는 우크라이나 정부기관을 대상으로 서버 측 피해자 검증을 거친 PDF 피싱과 JavaScript PicassoLoader, Cobalt Strike Beacon을 사용했다.

결론

이번 달에는 개발자 생태계와 오픈소스 패키지, 정상 업데이트와 클라우드 서비스, 합법 원격 관리 도구를 악용하는 흐름이 더욱 뚜렷해졌다. 특히 암호화폐, 정부, 국방, 외교, 에너지, 교육, 통신 분야가 반복적으로 표적이 되었고, 자격증명·지갑 키·세션 정보·문서·브라우저 데이터 탈취와 원격 제어가 공통된 목적이었다.

Tags:
Previous Post