1분기 DPRK Operation Kimsuky 분석
Contents
1. 개요
2026년 상반기에 Kimsuky 공격 그룹이 수행한 스피어피싱 캠페인 중 위장 주제, 초기 침투 벡터, C2 인프라가 구분되는 4건을 분석합니다. 캠페인은 각각 기업 채용 담당자, 암호화폐 투자자, 개발자, 국방 분야 관계자, 대학원 위탁교육 관계자 등을 표적으로 삼았습니다.
본 보고서는 각 캠페인의 초기 침투 경로, 페이로드 동작 방식, C2 인프라, 지속성 확보 기법을 분석하고 탐지·대응에 활용 가능한 IOC와 탐지 포인트를 정리합니다.
분석 대상 네 캠페인은 공통적으로 미끼 문서 표시 → 페이로드 드롭 → 지속성 확보 → C2 통신 및 원격 제어의 흐름을 따릅니다. 다만 위장 주제, 초기 실행 벡터(LNK/JSE), C2 인프라(자체 서버·GitHub·VSCode 터널), 타깃 식별 방식(uid/IP/MAC)이 캠페인마다 차별화 되었습니다. 최근에는 정상 서비스(GitHub raw, Microsoft CDN, VSCode 터널)를 C2 채널로 악용하는 경향이 두드러졌으며, 이는 명백히 평판 기반 차단을 우회하기 위한 의도로 판단됩니다.
캠페인 비교
| 구분 | Campaign #1 | Campaign #2 | Campaign #3 | Campaign #4 |
|---|---|---|---|---|
| 위장 주제 | 이력서·명함·의료/보험 서류 | Pump.fun (Solana 밈코인) 기술 문서 | K-ICTC 국제과학화전투경영대회 | 국내대학원 석사야간과정 …
2026년 상반기에 Kimsuky 공격 그룹이 수행한 스피어피싱 캠페인 중 위장 주제, 초기 침투 벡터, C2 인프라가 구분되는 4건을 분석합니다. 캠페인은 각각 기업 채용 담당자, 암호화폐 투자자, 개발자, 국방 분야 관계자, 대학원 위탁교육 관계자 등을 표적으로 삼았습니다.
본 보고서는 각 캠페인의 초기 침투 경로, 페이로드 동작 방식, C2 인프라, 지속성 확보 기법을 분석하고 탐지·대응에 활용 가능한 IOC와 탐지 포인트를 정리합니다.
분석 대상 네 캠페인은 공통적으로 미끼 문서 표시 → 페이로드 드롭 → 지속성 확보 → C2 통신 및 원격 제어의 흐름을 따릅니다. 다만 위장 주제, 초기 실행 벡터(LNK/JSE), C2 인프라(자체 서버·GitHub·VSCode 터널), 타깃 식별 방식(uid/IP/MAC)이 캠페인마다 차별화 되었습니다. 최근에는 정상 서비스(GitHub raw, Microsoft CDN, VSCode 터널)를 C2 채널로 악용하는 경향이 두드러졌으며, 이는 명백히 평판 기반 차단을 우회하기 위한 의도로 판단됩니다.
캠페인 비교
| 구분 | Campaign #1 | Campaign #2 | Campaign #3 | Campaign #4 |
|---|---|---|---|---|
| 위장 주제 | 이력서·명함·의료/보험 서류 | Pump.fun (Solana 밈코인) 기술 문서 | K-ICTC 국제과학화전투경영대회 | 국내대학원 석사야간과정 …
IoC
http://103.67.196.25/view1.php?type=apple&seed=<MAC
https://api.github.com/repos/brandonleeodd93-blip/doc7/contents/report/{IP
https://nelark.icu/xftaswx/res/bypass.b
https://nelark.icu/xftaswx/res/index.php
https://raw.githubusercontent.com/brandonleeodd93-blip/doc7/main/1.txt
https://nelark.icu/xftaswx/res/post_proc.php?fpath=bpersist.ps1
https://nelark.icu/xftaswx/res/post_proc.php?fpath=scheduler-once
https://nelark.icu/xftaswx/res/post_proc.php?fpath=a.ps1
https://raw.githubusercontent.com/brandonleeodd93-blip/doc7/main/view.pdf
http://HKCU...\CurrentVersion\Run
103.67.196.25
8301fc2c740f6309864e68b6e429d0f0
c57a8b40d2ca402656ff3d778f42708c
5c2857913efc6007b3ee7028a132baa4
6869766741b40825e31fd8bbff688bd3
cbb059bd691d846e8279d617134d3129
bb9e9c893b170b3774c150b1d0b93a73
08160acf08fccecde7b34090db18b321
a3363e0c22c0356fdbcdc37f502bbcde
9fe43e08c8f446554340f972dac8a68c
0dd1cf2d9a72fdbef19e77af59ba9d1f
aa9d5dd632bb90addca480eaa5ff4382
806fb7876b63ba89d2432cb831be01ba
80088af673b0117dbd5cf528021dd970
3fdce08723365d5c06e1183585164118
552ca91696fedd387e1ea47f50f18344
471faa43f4811a0250648d586cb3eebf
af7330af68a8f79b5a28fcc242e54a7e
bb5040d54135b0999cc491b41a0a45e2
c499e415f7e07f513d8319013a8b2e86
2689f58b803364bbfba2edb423a3b572
831d7c614ba32aa5d70ff9b0f259ee1d
52f1ff082e981cbdfd1f045c6021c63f
450774df6785e6eeb6ea906490905888
0331a83b58231cb0cd3bfe319003ed1a
b3c90f52e4b86a94ec637fee4354bb84
https://api.github.com/repos/brandonleeodd93-blip/doc7/contents/report/{IP
https://nelark.icu/xftaswx/res/bypass.b
https://nelark.icu/xftaswx/res/index.php
https://raw.githubusercontent.com/brandonleeodd93-blip/doc7/main/1.txt
https://nelark.icu/xftaswx/res/post_proc.php?fpath=bpersist.ps1
https://nelark.icu/xftaswx/res/post_proc.php?fpath=scheduler-once
https://nelark.icu/xftaswx/res/post_proc.php?fpath=a.ps1
https://raw.githubusercontent.com/brandonleeodd93-blip/doc7/main/view.pdf
http://HKCU...\CurrentVersion\Run
103.67.196.25
8301fc2c740f6309864e68b6e429d0f0
c57a8b40d2ca402656ff3d778f42708c
5c2857913efc6007b3ee7028a132baa4
6869766741b40825e31fd8bbff688bd3
cbb059bd691d846e8279d617134d3129
bb9e9c893b170b3774c150b1d0b93a73
08160acf08fccecde7b34090db18b321
a3363e0c22c0356fdbcdc37f502bbcde
9fe43e08c8f446554340f972dac8a68c
0dd1cf2d9a72fdbef19e77af59ba9d1f
aa9d5dd632bb90addca480eaa5ff4382
806fb7876b63ba89d2432cb831be01ba
80088af673b0117dbd5cf528021dd970
3fdce08723365d5c06e1183585164118
552ca91696fedd387e1ea47f50f18344
471faa43f4811a0250648d586cb3eebf
af7330af68a8f79b5a28fcc242e54a7e
bb5040d54135b0999cc491b41a0a45e2
c499e415f7e07f513d8319013a8b2e86
2689f58b803364bbfba2edb423a3b572
831d7c614ba32aa5d70ff9b0f259ee1d
52f1ff082e981cbdfd1f045c6021c63f
450774df6785e6eeb6ea906490905888
0331a83b58231cb0cd3bfe319003ed1a
b3c90f52e4b86a94ec637fee4354bb84