2026년 6월 APT 그룹 동향 보고서
목적 및 범위
2026년 6월 APT 그룹 동향 보고서는 국가 지원 위협 그룹들이 생성형 AI, 클라우드 서비스, OAuth 토큰, 상용 MaaS(Malware-as-a-Service, 악성코드 서비스형 플랫폼) 등을 공격 작전에 적극 도입한 흐름을 정리한 내용이다. 전통적인 악성코드 감염보다 계정·토큰 탈취, 정상 서비스 악용, 공급망 및 클라우드 환경 침해로 공격 범위가 넓어진 점이 핵심이다.
지역별 주요 APT 그룹 현황
북한
북한 연계 위협 행위자들은 GitHub, Google Docs, npm, VS Code 같은 개발자 친화 플랫폼을 악용해 개발자, 가상자산 종사자, 정보보호 담당자를 노렸다. 사회공학에는 취업 제안, 코드 리뷰, 개인정보 유출 확인, 보안 공지 등이 사용됐고, GitHub Releases, Google Drive, Dropbox, pCloud 같은 정상 클라우드 서비스가 C2 통신과 페이로드 전달에 활용됐다. APT38(Sapphire Sleet)은 Mastra npm 공급망을 침해해 140개 이상 npm 패키지에 easy-day-js 의존성을 주입했고, Kimsuky는 악성 LNK 파일과 Dropbox API, GitHub Releases, Google Drive를 이용해 정보 탈취와 추가 명령 실행을 수행했다. Lazarus Group은 npm에서 브랜드재킹과 타이포스쿼팅 패키지를 배포했고, TA-RedAnt(APT37)은 NarwhalRAT(정보 수집 및 원격 제어 악성코드)를 사용해 키로깅, 화면 캡처, 마이크 녹음 등을 수행했다. UNK_DeadDrop은 GitHub 또는 GitLab 저장소와 VS Code, Cursor를 악용해 개발자 시스템에서 암호화폐 지갑과 브라우저 자격 증명을 탈취했다.
중국
중국계 공격자들은 정부·외교·방산뿐 아니라 의료 연구기관, 에너지 산업 등으로 표적을 넓혔다. FishMonger는 SprySOCKS와 WINDRV, WINPLUS로 정부 조직을 대상으로 은닉과 지속성을 강화했고, Mustang Panda는 SHARDLOADER, MINIRECON, ZOHOMURK를 사용해 Zoho WorkDrive를 C2와 데이터 유출 채널로 악용했다. UNC6508은 REDCap 서버를 침해해 INFINITERED로 자격 증명을 탈취하고 이메일을 은밀 유출했으며, APT10, ToddyCat, Velvet Ant 계열 활동에서는 클라우드와 OAuth 토큰, 정상 서비스 악용 경향이 두드러졌다.
러시아
러시아계 위협 그룹은 우크라이나 중심의 장기 첩보 활동과 은닉성 강화를 이어갔다. APT28은 PixyNetLoader를 발전시키며 COM 지속성, PNG 스테가노그래피, FILEN 기반 클라우드 C2를 사용했고, X-Agent, X-Tunnel, LameHug(LLM으로 명령을 생성하고 문서를 수집하는 정보 탈취 악성코드) 등으로 전술을 확장했다. Gamaredon은 GammaPhish, GammaWorm, GammaLoad, GammaSteel을 통해 지속성, 물리적 확산, 문서 탈취를 수행했고, 정상 서비스와 클라우드 저장소, 터널링 인프라를 적극 악용했다. Turla는 STOCKSTAY(.NET 기반 다중 구성요소 백도어)를 배포해 우크라이나와 유럽 외교 관련 조직을 장기 감시했다. GREYVIBE는 생성형 AI와 LLM을 작전 전반에 활용해 우크라이나 관련 조직을 노렸고, SiribClone은 Telegram 피싱과 Android 스파이웨어로 러시아 군인을 겨냥했다.
이란
MuddyWater는 TAG-150 범죄 생태계의 CastleRAT MaaS와 ChainShell을 활용해 이스라엘, 중동, 미국, 유럽의 방위·에너지·정부·통신 조직을 노렸다. Nimbus Manticore는 LinkedIn 가짜 헤드헌터와 Ebix 채용 포털 사칭으로 유인해 .NET AppDomain 하이재킹 기반 사이드로딩 체인으로 데이터 유출과 원격 제어 기능을 배포했다. 이란계 활동은 러시아계 MaaS와 같은 외부 범죄 생태계를 활용하고, DLL 사이드로딩과 Azure 기반 인프라 악용으로 은닉성을 높이는 경향이 확인됐다.
인도
Bitter(APT-C-08)는 163 메일 서비스로 위장한 피싱 사이트와 다운로드 페이지로 계정 정보를 탈취하고, Requirement_Letter.vbs를 이용해 지속성, 정보 탈취, 원격 명령 실행을 수행했다. CNC(APT-C-48)는 개인 이력서로 위장한 피싱 첨부파일과 Search1ndexer.exe를 통해 파일 탈취와 CMD 명령 실행을 수행했다. Khmer Shadow는 캄보디아 정부 기관을 대상으로 SFX 아카이브, DLL 사이드로딩, NIGHTFORGE, Havoc Demon을 사용했다. OceanLotus는 FireAnt MetaKit 공급망 침해와 SPECTRALVIPER를 활용해 베트남 주식 투자자와 인프라·교통 건설 기업을 노렸다.
결론
2026년 6월에는 총 20개의 APT 그룹 정보가 공개됐다. 주요 공격 대상은 우크라이나, 인도, 파키스탄, 중국, 한국 등 지정학적 긴장이 높은 지역과 개발자, 정부, 방산, 의료, 에너지 같은 고가치 분야였다. 공격자는 정상 서비스, 클라우드, 공급망, 채용 미끼, 개발 플랫폼, 문서 파일을 악용해 계정과 자격 증명을 탈취하고 장기 침투를 유지하는 방향으로 전술을 고도화했다.