2025년 12월 APT 그룹 동향 보고서
Contents
2025년 12월 APT 그룹 동향 보고서
지역별 주요 APT 그룹 동향
1) 북한
북한의 국가 기반 위협 그룹들은 IT 취업을 위장한 접근을 적극 활용하며, 합법적인 채용 플랫폼과 가짜 신원을 통해 기업 내부로 침투하려는 시도가 증가했다. 또한 원격 근무 환경을 악용해 권한을 확보하고, 내부 시스템 접근을 위한 장기적인 사회공학 전략을 병행하고 있다. 일부 그룹은 DLL 하이재킹과 같은 로더 기법을 지속적으로 사용하며, 기존 악성코드 배포 방식에서 탐지 회피를 위한 변형을 가속화하고 있다. 전반적으로 공격은 인력 채용과 소프트웨어 취약점을 동시에 악용하는 복합적 형태로 진화하고 있다.
Famous Chollima
Famous Chollima 조직이 가짜 원격근무 채용을 통해 미국 및 서구권 기업에 침투하고, 신원 탈취와 원격 데스크톱 접근을 이용해 내부 시스템 통제 및 자금 확보를 시도했다.
| 사례 1. | |
|
시기 |
· 알 수 없음 |
|
공격 대상 |
· 미국 및 서구권 기업 · 금융, 기술, 암호화폐·Web3, 핀테크, 헬스케어, 엔지니어링, IT 산업 |
|
초기 침투 |
· GitHub 저장소 Pull Request를 이용한 대량 접근 및 메시지 전송 · 원격 IT 근로자 채용 제안으로 위장한 사회공학 기법 …
지역별 주요 APT 그룹 동향
1) 북한
북한의 국가 기반 위협 그룹들은 IT 취업을 위장한 접근을 적극 활용하며, 합법적인 채용 플랫폼과 가짜 신원을 통해 기업 내부로 침투하려는 시도가 증가했다. 또한 원격 근무 환경을 악용해 권한을 확보하고, 내부 시스템 접근을 위한 장기적인 사회공학 전략을 병행하고 있다. 일부 그룹은 DLL 하이재킹과 같은 로더 기법을 지속적으로 사용하며, 기존 악성코드 배포 방식에서 탐지 회피를 위한 변형을 가속화하고 있다. 전반적으로 공격은 인력 채용과 소프트웨어 취약점을 동시에 악용하는 복합적 형태로 진화하고 있다.
Famous Chollima
Famous Chollima 조직이 가짜 원격근무 채용을 통해 미국 및 서구권 기업에 침투하고, 신원 탈취와 원격 데스크톱 접근을 이용해 내부 시스템 통제 및 자금 확보를 시도했다.
| 사례 1. | |
|
시기 |
· 알 수 없음 |
|
공격 대상 |
· 미국 및 서구권 기업 · 금융, 기술, 암호화폐·Web3, 핀테크, 헬스케어, 엔지니어링, IT 산업 |
|
초기 침투 |
· GitHub 저장소 Pull Request를 이용한 대량 접근 및 메시지 전송 · 원격 IT 근로자 채용 제안으로 위장한 사회공학 기법 …
IoC
https://www.microsoft.com/en-us/security/blog/2025/12/11/imposter-for-hire-how-fake-people-can-gain-very-real-access/
https://mp.weixin.qq.com/s?__biz=MzUyMjk4NzExMA==&mid=2247507693&idx=1&sn=e73e1cca5af2ee80c3037daa1dbd2ab1&poc_token=HGokPGmjYq2xcJOaDd5WY4hY5Za-wN0Xy1iNhqJ7
https://any.run/cybersecurity-blog/lazarus-group-it-workers-investigation/
e73e1cca5af2ee80c3037daa1dbd2ab1
https://mp.weixin.qq.com/s?__biz=MzUyMjk4NzExMA==&mid=2247507693&idx=1&sn=e73e1cca5af2ee80c3037daa1dbd2ab1&poc_token=HGokPGmjYq2xcJOaDd5WY4hY5Za-wN0Xy1iNhqJ7
https://any.run/cybersecurity-blog/lazarus-group-it-workers-investigation/
e73e1cca5af2ee80c3037daa1dbd2ab1