북한의 대규모 해커 그룹이 두 개의 시스템을 해킹한 데이터 유출 사건에 연루된 것으로 드러났으며, 김수키(Kimsuky) APT 그룹 구성원의 대규모 데이터 유출이 의심되고 있습니다.
북한 해킹 그룹 '김수키(Kimsuky)'의 고도 지속적 위협(APT) 조직원이 대규모 데이터 유출 사고를 당해 수백 기가바이트에 달하는 내부 파일과 도구가 유출된 것으로 알려졌다.
북한 해커 그룹, 데이터 유출 의심 사건 연루 적발
Slow Mist 보안 연구원들에 따르면, 유출된 Kimsuky 해킹 데이터에는 브라우저 기록, 피싱 캠페인 로그, 맞춤형 백도어 매뉴얼, 그리고 TomCat 커널 백도어, 변형된 Cobalt Strike 비콘, Ivanti RootRot, Toybox와 같은 안드로이드 기반 악성코드 변종 등의 공격 시스템이 포함되어 있습니다.
보고서에 따르면 데이터 유출은 2025년 6월 초에 발생했으며, "KIM"이라는 가명을 사용하는 Kimsuky 운영자와 관련된 두 개의 해킹된 시스템이 원인으로 trac됩니다. 하나는 Deepin 20.9가 설치된 Linux 개발 워크스테이션이고, 다른 하나는 공개 VPS입니다. Linux 시스템은 악성코드 개발 환경으로 사용되었을 가능성이 높으며, 다른 시스템에는 가짜 로그인 포털 및 명령 제어 링크를 포함한 스피어 피싱 자료가 호스팅되어 있었습니다.
사용하는 해킹범들은 닉네임을두 시스템에 접근하여 콘텐츠를 유출한 후 온라인에 게시했다고 주장했습니다. 일부 단서는 "KIM"이 Kimsuky의 알려진 인프라와 연관되어 있음을 시사하지만, 다른 언어적 및 기술적 단서들은 중국과의 연관성을 암시하고 있어 현재로서는 KIM의 기원은 불분명합니다.
Kimsuky는 적어도 2012년부터 운영되어 왔습니다
김수키는 2012년 처음 등장했을 때부터 북한 정찰총국과 연계되어 있다. 이 단체는 오랫동안 정부, 싱크탱크,trac업체, 학계 등을 대상으로 사이버 스파이 활동을 전문으로 해왔다.
2025년 초, Kimsuky의 DEEP#DRIVE와 같은 공격 캠페인은 Windows 바로가기(LNK) 파일이 문서로 위장된 압축 ZIP 파일로 시작하는 다단계 침입 방식을 사용했습니다. 피해자가 이러한 파일을 열면 LNK 파일은 Dropbox와 같은 서비스에서 악성 페이로드를 가져오는 PowerShell 명령을 실행합니다. 이때 위장 문서는 정상적인 문서처럼 보이도록 만들어져 탐지를 피합니다.
2025년 3월과 4월에 진행된 Kimsuky 캠페인에서는 악성 ZIP 압축 파일에 뒤섞인 VBScript 및 PowerShell 코드가 삽입되었습니다. 이러한 스크립트는 명령어를 은밀하게 조합하여 키 입력을 수집하고, 클립보드 데이터를 캡처하며, Chrome, Edge, Firefox, Naver Whale 등의 브라우저에서 암호화폐 지갑 키를 탈취하는 악성 프로그램을 배포했습니다.
일부 공격은 악성 LNK 파일과 VBScript를 함께 사용하여 mshta.exe를 호출하고 메모리에서 직접 리플렉티브 DLL 기반 악성 프로그램을 실행하는 방식으로 전환되었습니다.
거의 같은 시기에 Kimsuky는 은밀한 원격 접속을 가능하게 하는 맞춤형 RDP 래퍼 모듈과 프록시 악성코드를 배포하기 시작했습니다. forceCopy와 같은 정보 탈취 악성코드는 일반적인 암호 접근 경고를 발생시키지 않고 브라우저 구성 파일에서dent증명을 수집하는 데 사용되었습니다.
대상으로 한 스피어 피싱 공격에서는 한국을비공개 GitHub 저장소를 악성코드 저장 및 데이터 유출에 이용했습니다. 이러한 공격은 XenoRAT과 같은 악성코드를 유포하는 동시에 Dropbox를 탈취한 파일의 임시 저장소로 활용했습니다. 신뢰할 수 있는 플랫폼을 유포와 데이터 유출에 모두 사용하는 이중 전략을 통해 김수키는 합법적인 네트워크 트래픽 속에 악성 활동을 숨길 수 있었습니다.
