Kimsuky의 고도화된 공격 기법 분석: JSONPing, Webex 사칭, 그리고 새로운 HttpSpy 변종
Contents
요약
2026년 4월까지 Kimsuky가 대한민국 군·기업 관계자를 대상으로 악성코드를 유포한 사례를 다수 식별하였다.
Kimsuky는 국내 보안프로그램 설치 페이지 사칭, 실제 Webex 미팅 일정을 악용한 가짜 미팅 페이지 제작 등 타겟에 맞춘 다양한 사회공학적 전략을 사용하였다.
유포 페이지에서 JSONP를 이용해 피해자의 악성코드 실행 여부를 실시간으로 확인하는 기법(JSONPing)이 확인되었다.
최종 페이로드로 HttpSpy 변종이 확인되었으며, 기존 단일 바이너리 구조에서 Installer - Loader - HttpSpy 3단계의 새로운 실행 체인이 사용되었다.
공격 인프라, 코드 패턴, 암호화 키 재사용 등에서 Kimsuky와의 연관성이 확인되었다.
1. 개요
엔키화이트햇 위협연구팀은 2026년 상반기 북한 배후 공격 그룹 Kimsuky의 대한민국 군·기업 관계자 대상 악성코드 유포 사례를 식별하였다.
분석 결과, Webex 사칭 공격 사례에서 최종 페이로드인 HttpSpy 변종의 전체 실행 체인이 확인되었다. 기존 HttpSpy가 단일 바이너리로 동작했던 것과 달리, 본 변종은 설치 과정이 3단계로 분리되었다. 보안프로그램 위장 공격 사례에서는 다운로더 단계까지만 확인되었으나, 동일한 RC4 키·인프라·코드 패턴을 공유하여 같은 위협 행위자의 공격으로 판단하였다.
Kimsuky는 가짜 웹페이지에 JSONP 통신 기능을 추가해, 악성코드가 피해 시스템에 구축한 로컬 서버와 통신해 실행 여부를 확인하고, 미실행 시 …
2026년 4월까지 Kimsuky가 대한민국 군·기업 관계자를 대상으로 악성코드를 유포한 사례를 다수 식별하였다.
Kimsuky는 국내 보안프로그램 설치 페이지 사칭, 실제 Webex 미팅 일정을 악용한 가짜 미팅 페이지 제작 등 타겟에 맞춘 다양한 사회공학적 전략을 사용하였다.
유포 페이지에서 JSONP를 이용해 피해자의 악성코드 실행 여부를 실시간으로 확인하는 기법(JSONPing)이 확인되었다.
최종 페이로드로 HttpSpy 변종이 확인되었으며, 기존 단일 바이너리 구조에서 Installer - Loader - HttpSpy 3단계의 새로운 실행 체인이 사용되었다.
공격 인프라, 코드 패턴, 암호화 키 재사용 등에서 Kimsuky와의 연관성이 확인되었다.
1. 개요
엔키화이트햇 위협연구팀은 2026년 상반기 북한 배후 공격 그룹 Kimsuky의 대한민국 군·기업 관계자 대상 악성코드 유포 사례를 식별하였다.
분석 결과, Webex 사칭 공격 사례에서 최종 페이로드인 HttpSpy 변종의 전체 실행 체인이 확인되었다. 기존 HttpSpy가 단일 바이너리로 동작했던 것과 달리, 본 변종은 설치 과정이 3단계로 분리되었다. 보안프로그램 위장 공격 사례에서는 다운로더 단계까지만 확인되었으나, 동일한 RC4 키·인프라·코드 패턴을 공유하여 같은 위협 행위자의 공격으로 판단하였다.
Kimsuky는 가짜 웹페이지에 JSONP 통신 기능을 추가해, 악성코드가 피해 시스템에 구축한 로컬 서버와 통신해 실행 여부를 확인하고, 미실행 시 …
IoC
http://hdrgdrfes.chickenkiller.com/index.php
https://appview.imagetemplate.com/babymetalsave_icon<
https://pipeline.embeddedonline.org/check.php?x-csrf-token=gateless
http://27.102.113.106
http://o-r.kr
https://load.serverpit.com/fwrite.php
http://p-e.kr
https://www.ibizplus.n-e.kr/install.html
https://download.birdriver.org/download.php?id=425623
http://163.245.215.46
http://n-e.kr
http://2.2.2.2
https://blog.alyac.co.kr/3754
http://r-e.kr
https://load.erasecloud.n-e.kr/login.php
http://kro.kr
https://pipeline.embeddedonline.org/download3.php?sessid=54126&user-token=babymetalsave
http://163.245.221.218
https://pipeline.embeddedonline.org/check.php?x-csrf-token=babymetalsave
https://meet1754245389211-9925.webex.com/meet1754245389211-9925/j.php?MTID=mb755b0b9133ae8f9e3608b0b519d6a35
https://www.gendigital.com/blog/insights/research/dprk-kimsuky-lazarus-analysis
https://conference.birdriver.org/
https://appview.imagetemplate.com/gateless_icon<
https://bigfile.crabdance.com/recaptcha.html
https://download.birdriver.org/download.php?id=393156
http://157.250.202.123
157.250.202.123
163.245.215.46
120.0.0.0
163.245.221.218
27.102.113.106
2.2.2.2
b755b0b9133ae8f9e3608b0b519d6a35
https://appview.imagetemplate.com/babymetalsave_icon<
https://pipeline.embeddedonline.org/check.php?x-csrf-token=gateless
http://27.102.113.106
http://o-r.kr
https://load.serverpit.com/fwrite.php
http://p-e.kr
https://www.ibizplus.n-e.kr/install.html
https://download.birdriver.org/download.php?id=425623
http://163.245.215.46
http://n-e.kr
http://2.2.2.2
https://blog.alyac.co.kr/3754
http://r-e.kr
https://load.erasecloud.n-e.kr/login.php
http://kro.kr
https://pipeline.embeddedonline.org/download3.php?sessid=54126&user-token=babymetalsave
http://163.245.221.218
https://pipeline.embeddedonline.org/check.php?x-csrf-token=babymetalsave
https://meet1754245389211-9925.webex.com/meet1754245389211-9925/j.php?MTID=mb755b0b9133ae8f9e3608b0b519d6a35
https://www.gendigital.com/blog/insights/research/dprk-kimsuky-lazarus-analysis
https://conference.birdriver.org/
https://appview.imagetemplate.com/gateless_icon<
https://bigfile.crabdance.com/recaptcha.html
https://download.birdriver.org/download.php?id=393156
http://157.250.202.123
157.250.202.123
163.245.215.46
120.0.0.0
163.245.221.218
27.102.113.106
2.2.2.2
b755b0b9133ae8f9e3608b0b519d6a35