국가 배후 위협 조직의 안드로이드 디바이스 대상 원격 초기화 전술
Contents
◈ 주요 결과 (Key Findings)
- 구글의 자산추적 기능인 Find Hub 악용해 안드로이드 디바이스 원격 데이터 삭제 공격 등장
- 코니 APT 캠페인이 약 1년간 잠복하며 은밀히 활동한 후 수행한 후속 공격으로 확인
- 심리상담가·북한인권운동가 신분을 사칭, 스트레스 해소 프로그램으로 위장된 악성파일 전달
- 카카오톡 메신저를 악성파일 전달 매개체로 사용해 지인 사칭으로 신뢰기반 공격 수행
- EDR 솔루션을 활용한 실시간 행위 기반 탐지 및 침해지표(IOCs) 연동 모니터링 강화 권장
1. 개요 (Overview)
지니언스 시큐리티 센터(Genians Security Center, GSC)는 김수키(Kimsuky) 또는 APT37 그룹과 연계된 것으로 알려진 코니(Konni) APT 캠페인의 새로운 공격 정황을 포착했습니다.
GSC는 코니 활동을 추적하는 과정에서, 한국의 카카오톡(KakaoTalk) 메신저를 통해 '스트레스 해소 프로그램'으로 위장한 악성파일이 대량으로 유포된 사실을 발견했습니다.
코니는 공격 대상 분야나 위협 인프라가 김수키 또는 APT37 그룹과 겹치는 경우가 있어 일부 연구자들은 동일 조직의 활동으로 분류하기도 합니다. 해당 그룹들은 모두 북한 정권의 지령을 받는 국가배후 위협 조직으로 알려져 있습니다.
한편, 2025년 10월 22일, 다국적 제재 모니터링팀(Multilateral Sanctions Monitoring Team, MSMT)은 '북한의 사이버 및 IT 근로자 활동과 관련된 …
- 구글의 자산추적 기능인 Find Hub 악용해 안드로이드 디바이스 원격 데이터 삭제 공격 등장
- 코니 APT 캠페인이 약 1년간 잠복하며 은밀히 활동한 후 수행한 후속 공격으로 확인
- 심리상담가·북한인권운동가 신분을 사칭, 스트레스 해소 프로그램으로 위장된 악성파일 전달
- 카카오톡 메신저를 악성파일 전달 매개체로 사용해 지인 사칭으로 신뢰기반 공격 수행
- EDR 솔루션을 활용한 실시간 행위 기반 탐지 및 침해지표(IOCs) 연동 모니터링 강화 권장
1. 개요 (Overview)
지니언스 시큐리티 센터(Genians Security Center, GSC)는 김수키(Kimsuky) 또는 APT37 그룹과 연계된 것으로 알려진 코니(Konni) APT 캠페인의 새로운 공격 정황을 포착했습니다.
GSC는 코니 활동을 추적하는 과정에서, 한국의 카카오톡(KakaoTalk) 메신저를 통해 '스트레스 해소 프로그램'으로 위장한 악성파일이 대량으로 유포된 사실을 발견했습니다.
코니는 공격 대상 분야나 위협 인프라가 김수키 또는 APT37 그룹과 겹치는 경우가 있어 일부 연구자들은 동일 조직의 활동으로 분류하기도 합니다. 해당 그룹들은 모두 북한 정권의 지령을 받는 국가배후 위협 조직으로 알려져 있습니다.
한편, 2025년 10월 22일, 다국적 제재 모니터링팀(Multilateral Sanctions Monitoring Team, MSMT)은 '북한의 사이버 및 IT 근로자 활동과 관련된 …
IoC
http://77.246.101.72
http://192.109.119.113
http://116.202.99.218
http://212.118.52.168
http://bp-analytics.de
http://genuinashop.com
http://appoitment.dotoit.media
http://38.180.148.108
http://77.246.108.96
http://91.107.208.93
http://sparkwebsolutions.space
http://94.103.87.212
http://89.110.83.245
http://oldfoxcompany.com
http://xcellentrenovations.com
http://professionaltutors.net
http://62.113.118.157
http://109.234.36.135
http://youkhanhdoit.co
http://93.183.93.185
109.234.36.135
91.107.208.93
192.109.119.113
89.110.83.245
93.183.93.185
1.0.0.0
77.246.101.72
77.246.108.96
116.202.99.218
38.180.148.108
62.113.118.157
94.103.87.212
212.118.52.168
53aea290d7245ee902a808fd87a6a173
f7363c5cfd6fa24a86e542fcd05283e8
5ab26df9c161a6c5f0497fde381d7fca
ef1a8f66351d03413ed2c7d499ee5164
048e1698c4b711d1652df4bf4be04f9e
56c7b448dbc37aa50eb1c2a6475aca5e
99ee7852b8041a540fdb74b3784d0409
8230af6642f5f1927bbbbc7fd6e5427f
b0eba111b570bb1c93ca1f48557d265b
38f8fd9e8d27ae665b3ac0f56492f6c4
09b91626507a62121a4bdb08debb3ed9
8f82226b2f24d470c02f6664f67f23f7
f6800836d55d049fe79e3d47d54e1119
25e38d618f38b3218c3252cf0d22c969
http://192.109.119.113
http://116.202.99.218
http://212.118.52.168
http://bp-analytics.de
http://genuinashop.com
http://appoitment.dotoit.media
http://38.180.148.108
http://77.246.108.96
http://91.107.208.93
http://sparkwebsolutions.space
http://94.103.87.212
http://89.110.83.245
http://oldfoxcompany.com
http://xcellentrenovations.com
http://professionaltutors.net
http://62.113.118.157
http://109.234.36.135
http://youkhanhdoit.co
http://93.183.93.185
109.234.36.135
91.107.208.93
192.109.119.113
89.110.83.245
93.183.93.185
1.0.0.0
77.246.101.72
77.246.108.96
116.202.99.218
38.180.148.108
62.113.118.157
94.103.87.212
212.118.52.168
53aea290d7245ee902a808fd87a6a173
f7363c5cfd6fa24a86e542fcd05283e8
5ab26df9c161a6c5f0497fde381d7fca
ef1a8f66351d03413ed2c7d499ee5164
048e1698c4b711d1652df4bf4be04f9e
56c7b448dbc37aa50eb1c2a6475aca5e
99ee7852b8041a540fdb74b3784d0409
8230af6642f5f1927bbbbc7fd6e5427f
b0eba111b570bb1c93ca1f48557d265b
38f8fd9e8d27ae665b3ac0f56492f6c4
09b91626507a62121a4bdb08debb3ed9
8f82226b2f24d470c02f6664f67f23f7
f6800836d55d049fe79e3d47d54e1119
25e38d618f38b3218c3252cf0d22c969