2026년 1월 APT 그룹 동향 보고서
중점 APT 그룹 Sandworm은 2025년 12월 말 폴란드 풍력·태양광 발전소 등 최소 30개 에너지 시설을 대상으로 FortiGate 취약 구성을 악용한 침투 후 DynoWiper로 OT와 IT 장비 파괴를 시도했다. RTU, IED, 시리얼 장비를 직접 파손하거나 설정을 조작해 원격 제어 불가 및 운영 중단을 유발했으며, GPO를 이용한 대규모 와이퍼 배포까지
2025년 11월 APT 그룹 동향 보고서
지역별 주요 APT 그룹 동향 1) 북한 북한 배후 추정 위협 행위자들의 공격 기법은 지속적으로 진화하고 있다. 악성코드 유포 방식에서는 기존 이메일 첨부나 단순 URL 대신 JSON 기반 클라우드 스토리지 서비스를 활용하는 사례가 증가하고 있다. 이를 통해 정상 서비스로 위장하여 탐지를 회피하고 신뢰성을 높이는 전략을 사용한다. 공격
2025년 사이버 위협 동향 및 2026년 전망
개요 보고서 소개 이 보고서는 안랩의 위협 인텔리전스 플랫폼 AhnLab TIP를 통해 제공되는 보안 콘텐츠를 기반으로, 2024년 4분기부터 2025년 3분기까지의 다양한 보안 이슈 및 트렌드를 살펴보고 2026년 사이버 보안 위협을 전망한다. AhnLab TIP는 여러 출처로부터 악성코드, 침해사고, 위협행위자, 취약점, 침해지표(IoC), 보안 뉴스 등 다양한 위협 정보를 수집,
2025년 9월 APT 그룹 동향 보고서
지역별 주요 APT 그룹 동향 1) 북한 북한 연계 APT 그룹들은 한국의 국방·군사·암호화폐 분야를 중심으로 고도화된 스피어 피싱과 원격 액세스 기반 공격을 집중적으로 수행했으며, 생성형 AI와 딥 페이크 기술을 활용한 심리적 기만 기법이 새롭게 등장했다. Kimsuky Kimsuky 그룹은 한국의 국방, 방위사업 관련 전문 연구원을 노리고 스피어
2025년 8월 APT 그룹 동향 보고서
지역별 주요 APT 그룹 동향 1) 북한 북한 연계 APT 그룹들은 한국을 중심으로 외교, 금융, 기술, 언론, 정책 연구 분야를 겨냥한 고도화된 사이버 공격을 집중적으로 수행했으며, 다양한 악성코드와 사회공학 기법, 클라우드 기반 C2 인프라를 활용한 정교한 스피어 피싱 캠페인이 두드러졌다. 이들은 LNK·PowerShell 기반 로더, 스테가노그래피(JPEG 은닉), 파일리스 기법
2025년 7월 APT 그룹 동향 보고서
지역별 주요 APT 그룹 동향 1) 북한 북한의 APT 그룹은 ClickFix 기법을 적극 활용했으며, 한글(HWP) 문서에 삽입된 OLE 객체를 통해 DLL Side Loading 기법을 수행했다. Kimsuky Kimsuky 그룹은 ClickFix 전술을 활용하여 외교·안보 전문가를 표적으로 삼은 다단계 스피어 피싱 공격을 수행하였다. 사례 1. 시기 2025년 1월,
2025년 6월 APT 그룹 동향 보고서
국가별 주요 APT 그룹 동향 1) 북한 북한 APT 그룹은 Github PAT을 사용해 비공개 리포지토리를 공격 인프라로 활용했다. 또, 원격 IT 근로자로 위장해 기업 입사 후 정보 탈취, 금전 수익을 얻는 활동이 지속되고 있으며, 미국 정부도 북한 IT 인력과 그들을 돕는 사람들을 기소했다. Jasper Sleet
논문파일을 위장한 악성코드 유포 주의 (Kimsuky 그룹)
최근 AhnLab SEcurity intelligence Center(ASEC)은 Kimsuky 그룹이 교수를 대상으로 논문 심사 요청을 가장한 피싱 메일 공격 정황을 확인하였다. 메일에 악성 OLE 개체가 삽입된 한글 문서 파일을 첨부하여 파일 실행을 유도했다. 해당 문서에는 비밀번호가 설정되어 있어, 메일 본문에 포함된 비밀번호를 입력해야 열람할 수 있으며, 문서를 열면 %TEMP%(임시 폴더) 경로에 6개의 파일이
Larva-25004 (Kimsuky 연관) 그룹의 추가 인증서 악용 사례 – Nexaweb 인증서로 서명된 악성코드
ASEC(AhnLab SEcurity intelligence Center)은 한국 업체의 인증서로 서명된 악성코드와 동일한 특징을 가진 파일을 조사해 Nexaweb Inc. 인증서로 서명된 악성코드를 발견했다.이들 악성코드는 다른 보안업체에서 Kimsuky 그룹의 활동으로 보고했었다. 안랩은 이들을 Larva-25004로 명명하고 추적 중이다. Nextweb 인증서 서명 악성코드 발견된 파일은 2개로 MD5 해시 정보는 다음과 같다. Job
APT그룹 추적 보고서 – Larva-24005
1) 소개 안랩 ASEC(AhnLab SEcurity intelligence Center)은 침해 사고 조사 과정에서 Kimsuky 그룹과 연관된 새로운 오퍼레이션을 발견하고 Larva-24005로 명명했다.[1] 이들은 RDP 취약점으로 최초 침투 후 MySpy 악성코드로 시스템 설정을 변경하고, RDPWrap을 설치해 지속적인 원격 접근 환경을 만들었다. 또, 사용자의 키보드 입력을 저장하는 키로거를 감염시켰다. 포렌식 분석을
