2026년 1월 APT 그룹 동향 보고서
Contents
2026년 1월 APT 그룹 동향 보고서
중점 APT 그룹
Sandworm은 2025년 12월 말 폴란드 풍력·태양광 발전소 등 최소 30개 에너지 시설을 대상으로 FortiGate 취약 구성을 악용한 침투 후 DynoWiper로 OT와 IT 장비 파괴를 시도했다. RTU, IED, 시리얼 장비를 직접 파손하거나 설정을 조작해 원격 제어 불가 및 운영 중단을 유발했으며, GPO를 이용한 대규모 와이퍼 배포까지 수행했다. 유럽 전력망 안정성에 실질적 타격을 야기한 가장 중대한 파괴(Sabotage)형 공격으로 이번 달 최우선 경계 대상 그룹이다.
Lazarus는 차단된 Pastebin을 대체해 Polygon NFT 컨트랙트를 Dead Drop으로 활용, 서버 폐쇄 대응력을 극대화했다. VSCode의 runOn: folderOpen 자동 실행 기능과 npm 스크립트 하이재킹을 결합해 개발자 환경에서 사용자 실행 없이 즉시 악성 코드가 실행되는 공급망형 공격을 구현했다. 지갑·패스워드 매니저·SSH 키까지 탈취하는 모듈형 스틸러가 포함돼 개발자·Web3 조직 대상 심각한 피해 가능성이 부각되고 있다.
Konni는 AI로 생성된 PowerShell 백도어를 사용하고, Google, NAVER 광고 리다이렉션 구조를 악용해 정상 트래픽처럼 보이도록 하는 고도화된 우회 기법을 사용했다. ZIP+LNK 기반 실행 체인, AutoIt 스크립트 위장 PDF, WordPress 서버 침해 등 …
중점 APT 그룹
Sandworm은 2025년 12월 말 폴란드 풍력·태양광 발전소 등 최소 30개 에너지 시설을 대상으로 FortiGate 취약 구성을 악용한 침투 후 DynoWiper로 OT와 IT 장비 파괴를 시도했다. RTU, IED, 시리얼 장비를 직접 파손하거나 설정을 조작해 원격 제어 불가 및 운영 중단을 유발했으며, GPO를 이용한 대규모 와이퍼 배포까지 수행했다. 유럽 전력망 안정성에 실질적 타격을 야기한 가장 중대한 파괴(Sabotage)형 공격으로 이번 달 최우선 경계 대상 그룹이다.
Lazarus는 차단된 Pastebin을 대체해 Polygon NFT 컨트랙트를 Dead Drop으로 활용, 서버 폐쇄 대응력을 극대화했다. VSCode의 runOn: folderOpen 자동 실행 기능과 npm 스크립트 하이재킹을 결합해 개발자 환경에서 사용자 실행 없이 즉시 악성 코드가 실행되는 공급망형 공격을 구현했다. 지갑·패스워드 매니저·SSH 키까지 탈취하는 모듈형 스틸러가 포함돼 개발자·Web3 조직 대상 심각한 피해 가능성이 부각되고 있다.
Konni는 AI로 생성된 PowerShell 백도어를 사용하고, Google, NAVER 광고 리다이렉션 구조를 악용해 정상 트래픽처럼 보이도록 하는 고도화된 우회 기법을 사용했다. ZIP+LNK 기반 실행 체인, AutoIt 스크립트 위장 PDF, WordPress 서버 침해 등 …
IoC
https://plainbit.co.kr/kr/insight/tech_hub?bgu=view&idx=62
https://labs.withsecure.com/publications/andariel-2025
5.5.3.0
https://labs.withsecure.com/publications/andariel-2025
5.5.3.0