2026년 2월 APT 그룹 동향 보고서
Contents
2026년 2월 APT 그룹 동향 보고서
중점 APT 그룹
2026년 2월 APT 그룹들의 활동 중 APT28, Lotus Blossom, TA-RedAnt (APT37), UAT-8616, UNC3886, UNC6201의 공격이 특히 두드러졌다.
Lotus Blossom은 Notepad++ 공급망 인프라를 악용해 정상 업데이트 과정에 악성 실행 파일을 주입하고, DLL 사이드로딩과 다단계 로더를 결합해 Chrysalis 백도어와 Cobalt Strike Beacon을 배포했다. 이 공격은 개발자·정부기관·통신·항공 등 다양한 조직이 사용하는 업데이트 체인을 겨냥한 공급망 침해로, 감염 후 시스템 정보 수집, 원격 명령 실행, 파일 유출이 가능해지는 등 위험도가 매우 높다.
APT28은 Microsoft Office 및 MSHTML 제로데이(CVE-2026-21509, CVE-2026-21513)가 공개된 직후 이를 무기화하여 유럽의 군사·정부·운송 기관과 우크라이나 조직을 대상으로 대규모 공격을 수행했다. 이들은 스피어피싱 문서, LNK 기반 익스플로잇, WebDAV 외부 호출, COM 하이재킹, 스테가노그래피 등 복잡한 다단계 로딩 체인을 활용해 탐지를 우회하고 최종적으로 Covenant Grunt 등 원격제어 임플란트를 설치해 장기간 내부 장악력을 유지했다.
TA-RedAnt(APT37)은 망분리(Air-gapped) 환경을 정면으로 겨냥해 LNK 기반 초기 침투, Zoho WorkDrive 기반 C2 통신, Ruby 런타임 드로퍼, 이동식 매체(USB)를 통한 명령 전달 및 데이터 유출 등 다양한 …
중점 APT 그룹
2026년 2월 APT 그룹들의 활동 중 APT28, Lotus Blossom, TA-RedAnt (APT37), UAT-8616, UNC3886, UNC6201의 공격이 특히 두드러졌다.
Lotus Blossom은 Notepad++ 공급망 인프라를 악용해 정상 업데이트 과정에 악성 실행 파일을 주입하고, DLL 사이드로딩과 다단계 로더를 결합해 Chrysalis 백도어와 Cobalt Strike Beacon을 배포했다. 이 공격은 개발자·정부기관·통신·항공 등 다양한 조직이 사용하는 업데이트 체인을 겨냥한 공급망 침해로, 감염 후 시스템 정보 수집, 원격 명령 실행, 파일 유출이 가능해지는 등 위험도가 매우 높다.
APT28은 Microsoft Office 및 MSHTML 제로데이(CVE-2026-21509, CVE-2026-21513)가 공개된 직후 이를 무기화하여 유럽의 군사·정부·운송 기관과 우크라이나 조직을 대상으로 대규모 공격을 수행했다. 이들은 스피어피싱 문서, LNK 기반 익스플로잇, WebDAV 외부 호출, COM 하이재킹, 스테가노그래피 등 복잡한 다단계 로딩 체인을 활용해 탐지를 우회하고 최종적으로 Covenant Grunt 등 원격제어 임플란트를 설치해 장기간 내부 장악력을 유지했다.
TA-RedAnt(APT37)은 망분리(Air-gapped) 환경을 정면으로 겨냥해 LNK 기반 초기 침투, Zoho WorkDrive 기반 C2 통신, Ruby 런타임 드로퍼, 이동식 매체(USB)를 통한 명령 전달 및 데이터 유출 등 다양한 …