북 추정 해커, 한국 주재 외국 대사관 타깃 사이버 공격

한국에 주재하는 외국 대사관을 겨냥한 사이버 첩보 공격이 확인됐다.

외교·정부 기관 타깃 ‘XenoRAT’ 악성코드 배포...외교첩보활동
이번 공격은 2025년 3월부터 7월까지 최소 19차례의 스피어피싱을 통해 이뤄졌으며, 깃허브를 명령·제어(C2) 채널로 활용해 ‘XenoRAT’ 악성코드를 배포한 것으로 드러났다.

XenoRAT은 키로깅, 화면 캡처, 파일 조작, 원격 쉘 실행, 웹캠·마이크 접근 등 광범위한 기능을 갖춘 원격 액세스 트로이 목마(RAT)로, 외교·정부 기관을 겨냥한 장기적 첩보 활동에 활용된 것으로 분석됐다.

실제 외교 일정 맞춘 스피어피싱…“진짜 초청장인 줄”
공격자는 외교 행사와 맞물려 한국어, 영어, 프랑스어, 러시아어, 페르시아어, 아랍어 등 다국어로 피싱 이메일을 제작했다. 특히 5월 서유럽 대사관에는 EU 고위급 인사로 위장한 ‘정치 자문회의 초청장’을 발송했고, 6·7월에는 한미 동맹 및 군사 협력과 관련된 문서를 집중적으로 활용했다.

악성 첨부파일은 클라우드 저장소 링크를 통해 암호로 보호된 ZIP 파일 형태로 전달됐다. 내부에는 PDF로 위장한 LNK 파일이 포함돼 있었다. 대상자가 파일을 실행하면 난독화된 파워셸 코드가 가동되고, 최종 페이로드가 내려받아져 지속적 침투가 가능해졌다.

북한 연계 가능성...중국 시간대 활동 흔적
트렐릭스는 이번 공격의 전술·기법이 북한 연계 해킹 조직인 ‘킴수키’(Kimsuky, APT43)의 전형적인 패턴과 유사하다고 밝혔다. 한국 이메일 서비스 이용, 깃허브 기반 C2 운영, 고유 식별자 활용 등 과거 킴수키 사례와 일치한다는 점이 근거로 제시됐다.

다만 연구진은 공격자의 활동 시간대가 중국 표준시(UTC+8)와 일치하고, 중국 공휴일에는 활동이 중단된 점에 주목했다. 이에 따라 북한이 주도했을 가능성이 크지만 중국 측의 지원이나 협력이 개입했을 가능성도 배제할 수 없다는 관측이 제기됐다.

Related Materials

• 미∙일 등 주요국 합동 '사이버 보안' 지침 발표 및 북한 해킹 조직 ‘벨벳 천리마’ 분석 - VOA Korea, 2024년
• 2024 글로벌 사이버 보안 위협 및 대응 전략 보고서 - 딜로이트, 2024년

북한 김수키 해커조직, 논문파일 위장한 악성코드 유포

최근 북한 해커조직 김수키(Kimsuky)의 피싱 메일 공격이 포착됐다. 해커조직은 교수 대상으로 논문 심사 요청을 가장했다. 해커조직은 메일에 악성 OLE 개체가 삽입된 한글 문서 파일을 첨부해 파일 실행을 유도했다. 문서를 열면 임시 폴더(%TEMP%) 경로에 6개 파일이 자동으로 생성된다. 문서 본문에 포함된 “더보기…” 문장에는 악성 파일(“peice.bat”)을

The Tech EdgeCheifEditor

북한 김수키 해킹조직, SNS 악용해 APT 공격

북한 사이버 공격 조직 김수키의 APT(지능형지속위협) 공격이 포착됐다. 이들은 지난 3월~4월까지 한국내 페이스북, 이메일, 텔레그램 이용자를 노리고, 두 개의 페이스북 계정을 통해 정찰과 공격대상을 탐색한 것으로 드러났다. 페이스북으로 접근했던 공격 사례 경우, ‘Transitional Justice Mission’ 계정을 통해 대북 분야 종사자에 온라인 친구 신청을 하고, 메신저로 대화를 신청했다. 공격자는

The Tech EdgeCheifEditor