2025년 11월 APT 그룹 동향 보고서
Contents
2025년 11월 APT 그룹 동향 보고서
지역별 주요 APT 그룹 동향
1) 북한
북한 배후 추정 위협 행위자들의 공격 기법은 지속적으로 진화하고 있다. 악성코드 유포 방식에서는 기존 이메일 첨부나 단순 URL 대신 JSON 기반 클라우드 스토리지 서비스를 활용하는 사례가 증가하고 있다. 이를 통해 정상 서비스로 위장하여 탐지를 회피하고 신뢰성을 높이는 전략을 사용한다.
공격 대상은 방위산업과 항공우주 산업을 비롯해 정부기관 및 외교 관련 조직으로 집중되고 있다. 특히 Lazarus 그룹은 Comebacker 변종을 활용하여 핵심 기술과 인력 정보를 수집하는 데 주력하고 있다. 또한 Android 기반 악성 앱을 통한 정보 탈취 시도가 증가하고 있다. Operation Dream Job과 유사한 가짜 채용 제안을 활용한 스피어 피싱이 지속되고 있으며, 공격자는 대상의 직무와 경력에 맞춘 맞춤형 메시지를 제작하여 성공률을 높이고 있다.
Famous Chollima
Famous Chollima 그룹은 Contagious Interview 캠페인을 통해 개발자를 공격했으며, 이 과정에서 JSON 저장소 서비스를 악용해 BeaverTail·InvisibleFerret 등의 악성코드를 배포했다.
| 사례 1. | |
|
시기 |
· 알 수 없음 |
|
공격 대상 |
· 소프트웨어 개발자 (특히 암호화폐 및 Web3 프로젝트 개발자) |
|
초기 침투 |
· …
지역별 주요 APT 그룹 동향
1) 북한
북한 배후 추정 위협 행위자들의 공격 기법은 지속적으로 진화하고 있다. 악성코드 유포 방식에서는 기존 이메일 첨부나 단순 URL 대신 JSON 기반 클라우드 스토리지 서비스를 활용하는 사례가 증가하고 있다. 이를 통해 정상 서비스로 위장하여 탐지를 회피하고 신뢰성을 높이는 전략을 사용한다.
공격 대상은 방위산업과 항공우주 산업을 비롯해 정부기관 및 외교 관련 조직으로 집중되고 있다. 특히 Lazarus 그룹은 Comebacker 변종을 활용하여 핵심 기술과 인력 정보를 수집하는 데 주력하고 있다. 또한 Android 기반 악성 앱을 통한 정보 탈취 시도가 증가하고 있다. Operation Dream Job과 유사한 가짜 채용 제안을 활용한 스피어 피싱이 지속되고 있으며, 공격자는 대상의 직무와 경력에 맞춘 맞춤형 메시지를 제작하여 성공률을 높이고 있다.
Famous Chollima
Famous Chollima 그룹은 Contagious Interview 캠페인을 통해 개발자를 공격했으며, 이 과정에서 JSON 저장소 서비스를 악용해 BeaverTail·InvisibleFerret 등의 악성코드를 배포했다.
| 사례 1. | |
|
시기 |
· 알 수 없음 |
|
공격 대상 |
· 소프트웨어 개발자 (특히 암호화폐 및 Web3 프로젝트 개발자) |
|
초기 침투 |
· …
IoC
https://www.genians.co.kr/blog/threat_intelligence/android
https://www.enki.co.kr/en/media-center/blog/kimsuky-s-ongoing-evolution-of-kimjongrat-and-expanding-threats
https://blog.nviso.eu/2025/11/13/contagious-interview-actors-now-utilize-json-storage-services-for-malware-delivery/
https://www.enki.co.kr/en/media-center/blog/kimsuky-s-ongoing-evolution-of-kimjongrat-and-expanding-threats
https://blog.nviso.eu/2025/11/13/contagious-interview-actors-now-utilize-json-storage-services-for-malware-delivery/